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本 书 第 1 版 评论 
“对 那些 陷于 计算 机 安全 痛苦 问题 的 人 而 言 ， 这 是 一 本 非常 有 用 的 书 ， 我 把 它 

推荐 给 我 的 学 生 。” 
Antonia Jones， 英 国 加 地 夫 大 学 
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如 今 ， 安 全 不 再 仅仅 是 专家 们 感 兴趣 的 话题 ， 对 此 感 兴趣 的 还 包括 所 有 的 终端 用 户 、 
系统 管理 员 以 及 软件 开发 者 。 


总 有 特殊 的 安全 威胁 会 伴随 着 新 的 上 T 应 用 软件 的 开发 而 出 现 。 面 对 永 无 休止 的 挑战 ， 传 统 的 解决 
办 法 也 许 不 但 不 能 解决 问题 ， 反 而 会 恶化 这 些 问 题 。 因 而 ， 我 们 需要 新 的 解决 办 法 。 

本 书 提出 了 与 计算 机 安全 有 关 的 全 面 而 简练 的 总 的 看 法 ， 帮 助 读者 应 对 各 个 级 别 的 安全 问题 。 本 
书 从 基本 的 定义 和 概念 开始 ， 进 而 勾画 出 计算 机 系统 的 核心 机 制 。 本 书 覆盖 了 网 络 、 操 作 系 统 以 及 
数据 库 的 安全 问题 ， 并 显示 了 应 该 如 何 评 估 及 解决 安全 问题 。 

本 书 第 2 版 包括 了 有 关 软 件 安全 的 新 章节 、 分 布 式 系统 的 认证 、 访 问 控制 中 新 的 范例 以 及 移动 等 
方面 的 内 容 ， 同 时 还 涵盖 了 对 安全 管理 和 密码 学 的 简要 介绍 。 

本 书 对 计算 机 科学 、 工 程 学 及 相关 学 科 下 学 习 计算 机 或 信息 安全 课程 的 本 科 生 或 研究 生 而 言 ， 
是 十 分 必要 的 读物 。 而 对 于 技术 和 工程 管理 人 员 而 言 ， 这 本 书 也 会 为 解决 复杂 的 安全 难题 提供 很 好 
的 切入 点 。 

本 书 既 适合 课堂 教学 ， 也 适合 自学 。 教 学 幻灯 片 、 每 章 练习 的 解 题 方案 等 附加 的 资源 都 可 以 在 


www.wiley.com/go/gollImann 上 找到 。 
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本 书 源 于 作者 的 课程 讲义 ， 现 已 升级 至 第 2 版 。 书 中 涉及 计算 机 安全 的 许多 重要 的 历史 
事件 ， 重 点 讲解 了 终端 系统 的 技术 安全 问题 ， 并 在 新 版 中 新 增 了 分 布 式 系统 的 认证 、 移 动 、 
软件 安全 等 章节 。 主 要 内 容 包 括 : 计算 机 安全 基础 、 身 份 识 别 与 认证 、 访 问 控制 、 引 用 监控 
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出 版 者 的 话 


文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 各 
个 领域 取得 了 董 断 性 的 优势 ; 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 辈 
出 、 独 领 风骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 学 科 中 的 
许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 壁 划 了 研究 的 
范畴 ， 还 揭 鳞 了 学 术 的 源 变 ， 既 遵循 学 术 规范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流逝 而 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 益 连 
切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 战略 上 显得 举 
足 轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 、 从 业 人 员 较 少 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科 
学 发 展 的 几 十 年 间 积 淀 的 经 典 教 材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教 
材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 
大 学 的 必由之路 。 

机 械 工 业 出 版 社 华章 图 文 信息 有 限 公 司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 年 开始 ， 
华章 公司 就 将 工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 几 年 的 不 懈 努 力 ， 我们 与 Pren- 
tice Hall, Addison-Wesley, McGraw-Hill, Morgan Kaufmann 等 世界 著名 出 版 公司 建立 了 和 良好 的 合 
作 关 系 ， 从 它们 现 有 的 数 百 种 教材 中 甄选 出 Tanenbaum, Stroustrup, Kernighan, Jim Gray 等 大 师 
名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 从 书 ” 为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 皮 藏 。 大 理 石 纹 
理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 野 力 孙 助 ， 国 内 的 专家 不 仅 提 供 了 中 肯 
的 选 题 指 导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 中 国 
的 传播 ， 有 的 还 专程 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 丛书 "已 经 出 版 了 近 260 个 品种 ， 
这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 ， 为 进一步 推 
广 与 发 展 打 下 了 坚实 的 基础 。 

随 着 学 科 建 设 的 初步 完善 和 教材 改革 的 逐渐 深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 
都 步 人 一 个 新 的 阶段 。 为 此 ， 华 章 公 司 将 加 大 引进 教材 的 力度 ， 除 “计算 机 科学 从 书 ” 之 外 ， 对 
影印 版 的 教材 ， 则 单独 开辟 出 “经 典 原版 书库 ”。 为 了 保证 这 两 套 从 书 的 权威 性 ， 同 时 也 为 了 更 
好 地 为 学 校 和 老师 们 服务 ， 华 章 公 司 聘请 了 中 国 科学 院 、 北 京 大 学 、 清 华 大 学 、 国 防 科技 大 学 、 
复旦 大 学 、 上 海 交 通 大 学 、 南 京 大 学 、 浙 江 大 学 、 中 国 科 技 大 学 、 哈 尔 滨 工业 大 学 、 西 安 交通 大 
学 、 中 国人 民 大 学 、 北 京 航空 航天 大 学 、 北 京 邮 电大 学 、 中 山大 学 、 解 放 军 理工 大 学 、 郑 州 大 
学 、 湖 北 工学 院 、 中 国 国 家 信息 安全 测评 认证 中 心 等 国内 重点 大 学 和 科研 机 构 在 计算 机 的 各 个 
领域 的 著名 学 者 组 成 “专家 指导 委员 会 "， 为 我 们 提供 选 题 意 见 和 出 版 监督 。 

这 两 套 从 书 是 响应 教育 部 提出 的 使 用 外 版 教材 的 号 召 ， 为 国内 高 校 的 计算 机 及 相关 专业 的 
教学 度 身 订 造 的 。 其 中 许多 教材 均 已 为 M. L T., Stanford, U.C. Berkeley, C. M. U. 等 世界 
名 牌 大 学 所 采用 。 不 仅 涵 盖 了 程序 设计 、 数 据 结构 、 操 作 系统 、 计 算 机 体系 结构 、 数 据 库 、 编 译 
原理 、 软 件 工程 、 图 形 学 、 通 信和 与 网 络 、 离 散 数学 等 国内 大 学 计算 机 专业 普遍 开设 的 核心 课程 ， 
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而 且 各 具 特 色 一 有 的 出 自 语言 设计 者 之 手 、 有 的 历经 三 十 年 而 不 衰 、 有 的 已 被 全 世界 的 几 百 所 
高 校 采用 。 在 这 些 圆 熟 通 博 的 名 师 大 作 的 指引 之 下 ， 读 者 必 将 在 计算 机 科学 的 宫殿 中 由 登 堂 而 
人 室 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 图 书 
有 了 质量 的 保证 ， 但 我 们 的 目标 是 尽善尽美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 
帮助 。 教 材 的 出 版 只 是 我 们 的 后 续 服务 的 起 点 。 华 章 公 司 欢迎 老师 和 读者 对 我 们 的 工作 提出 建 
议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


电子 邮件 : hzjsj@ hzbook. com 

联系 电话 : (010)68995264 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 
邮政 编码 : 100037 
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计算 机 的 安全 问题 已 经 成 为 世界 性 关注 的 问题 ， 计 算 机 用 户 在 使 用 计算 机 的 过 程 中 几乎 无 
一 幸免 地 受到 过 各 种 病毒 、 恶 意 软件 、 流 谍 软 件 的 骚扰 或 攻击 。 这 些 攻击 轻 则 造成 系统 的 工作 不 
稳定 ， 影 响 工 作 的 正常 进行 ; 重 则 造成 系统 裔 溃 ， 保 密 资 料 被 窃 。 据 统计 ， 电 脑病 毒 对 全 世界 企 
业 造 成 的 损失 呈 逐 年 上 升 趋势 。2001 年 造成 的 损失 为 110 亿美 元 , 但 到 了 2003 年 造成 的 损失 已 
达到 550 亿美 元 。 新 病毒 ， 新 攻击 的 破坏 方式 层出不穷 。 无 论 反 病毒 公司 的 动作 有 多 快 ， 他 们 始 
终 灌 后 于 病毒 发 展 的 速度 可见， 解决 计算 机 完全 问题 已 经 迫在眉睫 。 从 普通 用 户 的 角度 讲 ， 树 
立 计算 机 安全 使 用 意识 是 必须 解决 的 问题 ; 从 计算 机 安全 专业 技术 人 员 的 角度 讲 ， 设 计 并 实现 
更 加 安全 的 计算 机 系统 架构 也 是 目前 安全 现状 提出 的 进一步 要 求 。 而 这 两 者 都 必须 从 源头 人 手 ， 
即 需 要 了 人 解 计算 机 安全 的 基本 概念 和 原理 ， 本 书 即 是 从 技术 原理 的 角度 介绍 了 计算 机 安全 领域 
最 基本 和 最 重要 的 原理 ， 对 于 希望 全 面 掌 握 了 解 计算 机 安全 原理 的 人 而 言 ， 这 是 一 本 非常 有 用 
的 书 。 

全 书 分 为 17 章 ， 从 计算 机 安全 的 基本 的 定义 和 概念 开始 ， 覆 盖 了 网 络 安全 、 操 作 系 统 安全 
以 及 数据 库 安 全 等 方面 的 主题 ， 内 容 几 乎 涉及 了 目前 计算 机 安全 领域 的 所 有 方面 ， 从 基于 口令 
访问 控制 的 基本 模型 到 操作 系统 完整 性 和 内 存 访问 控制 保护 机 制 ， 从 计算 机 安全 模型 到 计算 机 
安全 评估 ， 从 密码 学 和 密 钥 管理 协议 到 网 络 安全 ， 从 软件 漏洞 到 基于 代码 的 访问 控制 ， 从 移动 服 
务 安全 机 制 到 数据 库 安 全 ， 内 容 丰富 ， 深 入 浅 出 ， 

本 书 适 合作 为 高 等 学 校 信息 安全 专业 本 科 或 工程 硕士 的 《信息 安全 概论 》 《计算 机 安全 》 等 
基础 课程 的 参考 教材 ， 也 可 作为 其 他 学 科 在 安全 类 课程 方面 的 参考 教材 ， 还 可 以 作为 信息 专业 
技术 人 员 的 参考 用 书 ， 是 信息 安全 方面 较 理想 的 教学 参考 书籍 。 
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本 书 源 于 笔者 的 课程 讲义 ， 笔 者 曾 在 有 关 信 息 安全 的 为 期 一 年 的 研究 生 项 目 中 讲授 。 在 这 
个 项 目 头 一 年 讨论 产业 配置 的 引用 术语 时 ， 主 管 安全 的 管理 者 强调 了 阐明 非 项 目 目标 的 重要 性 。 
因此 我 们 将 非 课程 目标 列举 如 下 : 

。 这 不 是 一 本 计算 机 安全 手册 

。 这 不 是 关于 计算 机 安全 的 百科 全 书 

。 这 不 是 计算 机 安全 的 历史 书 

当然 ， 本 书 会 参考 计算 机 安全 中 的 历史 事件 ， 讲 到 很 多 背景 知识 。 书 中 涵盖 该 领域 中 的 众多 
材料 ， 笔 者 希望 安全 实施 人 员 会 从 中 得 到 有 用 的 观点 和 内 容 。 不 过 ， 最 初 本 书 是 作为 计算 机 安全 
教科 书 而 写 的 ， 主 旨 是 为 那些 有 计算 机 科学 背景 的 学 生 提供 一 些 评定 和 比较 安全 产品 技术 优势 
的 基础 。 

本 书 第 1 版 的 前 言 也 作 了 上 述 介绍 ， 接 着 解释 了 笔者 所 选择 的 主题 和 书 的 结构 。 第 1 版 的 材 
料 编 于 数 年 前 ， 这 段 时 间 里 因特网 已 经 对 商业 用 途 开放 ， 在 此 之 前 ， 万 维 网 也 早已 经 存在 了 ,但 
这 些 事件 带 来 的 变化 还 没有 广 及 今天 的 程度 。 回 顾 一 下 ， 从 20 世纪 90 年 代 中 期 至 90 年 代 末 的 
这 一 段 时 间 里 ， 很 多 人 都 相信 通信 安全 特别 是 强 密码 学 可 以 保障 因特网 和 万 维 网 的 安全 访问 。 

如 今 ， 通 过 广泛 部 署 令 人 满意 的 通信 安全 协议 ， 这 些 问题 已 经 得 到 解决 。 但 是 ， 安 全 仍然 是 
一 个 难题 。 人 们 的 关注 义 回 到 了 终端 系统 。 缓 冲 区 溢出 、 一 般 性 的 代码 漏洞 引起 了 人 们 的 注意 。 
访问 控制 不 再 是 主要 由 操作 系统 实施 ， 中 间 层 和 应 用 层 也 都 实施 了 访问 控制 。 基 于 代码 的 访问 
控制 已 经 替代 了 传统 的 基于 用 户 身份 的 替代 。 

本 书 第 2 版 试图 客观 评价 计算 机 安全 领域 中 的 这 些 发 展 ， 并 增加 了 分 布 式 系统 的 认证 、 移 
动 、 软 件 安全 以 及 访问 控制 中 新 的 范例 等 章节 。Unix 安全 、Windows 2000 安全 、 网 络 安全 等 章 
节 的 内 容 都 已 经 更 新 。 另 外 ， 本 书 还 重新 安排 了 安全 模型 方面 的 材料 ， 并 将 其 分 为 两 章 。 第 8 章 
讲述 了 如 何 构建 一 个 形式 化 的 安全 模型 ， 比 如 Bell-LaPadula 模型 ， 以 及 如 何 将 它 应 用 于 计算 机 
系统 的 分 析 。 第 9 章 说 明 其 他 重要 安全 模型 的 概况 。 时 下 流行 的 一 些 问题 ， 比 如 可 信 计 算 ， 本 书 
只 略 提 一 二 。 其 他 方面 ， 如 网 络 安全 服务 ， 在 这 一 版 中 删 掉 了 ， 因 为 (但 不 局 限于 此 ) 这 个 领域 
仍 在 不 断 发 展 ， 技 术 细节 很 快 就 过 时 了 1 

与 本 书 第 1 版 一 样 ， 第 2 版 也 很 关注 计算 机 安全 ， 如 现在 信息 技术 应 用 中 使 用 的 终端 系统 的 
技术 安全 问题 。 经 过 深思 熟 虑 ， 笔 者 决定 将 重点 放 在 技术 方面 。 总 的 来 说 ， 这 不 是 一 本 有 关 信息 
安全 的 书 ， 虽 然 书 中 包括 了 风险 分 析 和 安全 管理 的 概论 性 章节 。 这 些 章节 可 供 那些 教授 信息 安 
全 课程 的 讲师 作为 背景 教材 使 用 。 本 书 没有 在 这 些 章节 上 长 篇 大 论 并 不 意味 着 它们 对 计算 机 安 
全 不 重要 。 相 反 ， 没 有 技术 安全 应 用 的 参考 背景 ， 就 不 能 制定 安全 决策 ， 如 果 管理 不 当 ， 或 者 部 
署 错误 ， 即 使 最 好 的 技术 措施 也 会 失效 。 在 上 面 提 到 的 研究 生 项 目 中 ， 有 关 技 术 主题 的 课程 就 是 
与 安全 管理 方面 的 课程 一 起 讲授 的 ， 这 些 有 关 安 全 管理 的 课程 会 讲 到 围绕 计算 机 安全 的 非 技术 
安全 问题 。 即 使 在 关注 技术 问题 时 ， 如 果 在 本 书 讲 完 后 ， 读 者 在 搞 清 系统 目的 前 仍 把 “这 个 系统 
是 安全 的 吗 "这 个 问题 当成 一 个 有 意义 的 问题 那么 笔者 会 觉得 自己 很 失败 。 

在 整 本 书 中 ， 笔 者 始终 尝试 着 从 书 中 各 方面 的 主题 讨论 中 提取 出 通用 的 安全 原则 。 在 讲述 
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具体 的 安全 系统 时 ， 也 展示 了 诸如 Unix 和 Windows 2000 中 的 安全 特征 。 它 们 主要 作为 这 些 一 般 
性 观点 的 例证 ， 而 不 作为 对 这 些 系统 的 全 面 介 绍 。 其 一 ， 这 是 由 于 篇 幅 的 限制 ， 很 多 章节 涉及 的 
主题 都 可 以 单独 写成 一 本 书 ; 再 者 是 因为 计算 机 安全 系统 的 不 断 变 化 的 特质 ， 对 技术 细节 的 解 
释 很 快 会 过 时 ; 最 后 是 因为 这 样 一 个 经 常会 听 到 的 抱怨 : 安全 实施 者 已 悉 知 系统 是 如 何 工作 的 ， 
但 是 并 不 知道 如 何 让 它们 更 好 地 工作 。 因 此 ， 本 书 尝试 提醒 读者 如 何 让 系统 工作 得 更 出 色 。 

本 书 的 每 一 章 都 配置 了 练习 ,但 笔者 不 能 说 对 所 有 的 练习 都 很 满意 。 不 能 说 计算 机 安全 像 
一 堆 菜 谱 一 样 ， 可 以 在 一 本 典型 的 教材 练习 限定 的 范围 内 逐一 展示 完全 。 在 某 些 领 域 中 ， 如 密码 
安全 或 密码 学 ， 编 写 有 精确 答案 的 练习 十 分 容易 ， 而 且 只 要 执行 正确 的 操作 步骤 即 可 找 出 准确 
答案 。 有 些 领 域 则 更 适合 项 目 、 论 文 或 讨论 。 虽 然 ， 大 家 很 自然 地 会 联想 到 提供 一 个 有 实际 系统 
实验 的 计算 机 安全 课题 ， 但 笔者 在 本 书 中 并 没有 提出 实验 环节 的 建议 。 操 作 系统 、 数 据 库 管理 系 
统 或 者 防火 墙 是 实践 练习 的 主要 来 源 。 讲 师 可 根据 实际 工作 中 使 用 的 特定 系统 收集 具体 实例 。 
针对 具体 的 系统 ， 还 有 很 多 优秀 的 讲解 如 何 使 用 系统 的 安全 机 制 的 书籍 。 

由 于 这 是 一 本 教材 ， 所 以 有 时 候 我 会 在 练习 中 收集 一 些 很 重要 的 材料 ， 这 些 材料 可 能 在 一 
些 计 算 机 安全 手册 的 主体 部 分 有 收录 。 

笔者 很 感谢 那些 鼓励 本 书 出 版 并 为 第 1 版 提供 反馈 意见 的 同事 们 ， 他 们 对 本 书 中 哪些 地 方 很 
有 用 ， 哪 些 地 方 用 处 不 大 提出 了 合理 建议 。 然 而 ， 并 非 所 有 的 建议 都 被 第 2 版 采纳 。 笔 者 还 要 特 
别 感谢 Jason Crampton， 他 提 了 很 多 详细 而 有 用 的 建议 ， 并 修正 了 很 多 章节 。 感 谢 Tuomas Aura 
和 Kai Rannenberg ， 笔 者 曾 就 一 些 章节 中 的 专业 技术 问题 向 他 们 讨教 过 ， 他 们 提供 了 很 详细 的 
建议 。 


Dieter Gollmann 


2005 年 8 A FRE 
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第 1 章 绪 Ê 


一 些 涉 及 新 的 信息 技术 (IT) 的 文章 中 常常 以 如 下 评论 开头 : 


对 安全 的 关注 是 阻止 新 信息 技术 使 用 的 主要 原因 ， 但 这 样 一 来 也 妨碍 了 普通 用 户 和 公 
司 享受 到 这 些 技术 可 能 带 来 的 所 有 好 处 。 


这 类 观点 见 诸 于 安全 方面 的 学 术 专 著 ， 见 诸 于 试图 说 服用 户 相信 其 提供 服务 价值 的 咨询 人 
员 ， 见 诸 于 安全 产品 销售 人 员 或 负责 安全 计划 的 政府 官员 。 安 全 方面 的 故事 在 媒体 中 炒 得 很 热 ， 
并 且 总 是 带 有 强烈 的 动机 ， 例 如 IT 巨人 (微软 ) 在 安全 方面 的 漏洞 或 者 对 看 不 见 的 危害 的 担心 
(例如 肆虐 于 因特网 上 的 病毒 、 蠕 虫 ) 。 

一 些 别有用心 的 人 自然 会 找 出 一 些 原 因 来 夸大 我 们 面临 的 威胁 ， 而 要 获取 有 力 的 证 据 来 评 
佑 问题 的 严重 程度 常常 也 很 困难 。 同 时 ， 在 另 一 方面 ， 任 何 遭 到 某 种 蠕虫 或 病毒 攻击 的 人 都 能 证 
实 ， 威 胁 确实 存在 。 的 确 ， 开 放 式 的 通信 网 络 如 因特网 、 移 动 电话 系统 的 广泛 使 用 ， 让 数量 巨大 
的 用 户 群 暴露 在 安全 的 威胁 下 。 因 此 , IT 专业 人 员 必 须要 了 解 这 些 网 络 的 潜在 漏洞 、 核 心 保护 机 
制 及 其 局 限 性 。 

这 本 书 主要 讲述 计算 机 安全 。 计 算 机 安全 最 初 的 关注 点 是 多 用 户 系统 。 用 户 必须 相互 隔离 ， 
非 授 权 用 户 必须 被 禁止 修改 系统 软件 。 目 前 的 关注 点 放 在 被 认为 是 网 络 终端 系统 的 计算 设备 上 。 
许多 安全 问题 都 源 于 这 些 设备 连 在 网 络 上 这 一 事实 ， 或 多 或 少 都 可 能 受到 “ 非 信 任 节 点 ”的 攻击 。 
传统 的 网 络 安全 服务 保护 节点 间 的 信号 ， 当 信息 被 安全 地 送 达 对 方 ， 保 护 的 任务 就 完成 了 。 我 们 
要 讨论 的 是 终端 系统 接收 信息 后 在 处 理 信息 的 过 程 中 发 生 的 问题 。 

在 进入 此 书 技术 内 容 的 讨论 之 前 ， 本 章 将 纵览 一 些 在 实战 中 试图 实现 安全 措施 时 必须 要 说 
明 的 重要 问题 。 部 署 安全 措施 ( 以 及 通常 的 IT 技术 ) 是 个 管理 决策 的 问题 ， 必 须 有 组 织 、 按 部 就 
班 地 实施 技术 安全 措施 才能 奏效 。 管 理 决策 应 依据 对 当前 风险 和 威胁 的 分 析 来 作出 。 因 此 ， 我 们 
将 给 出 安全 管理 及 风险 和 威胁 分 析 的 简短 综述 。 

目标 

。 明确 本 书 所 讨论 计算 机 安全 的 范围 。 

。 给 出 安全 管理 的 简介 。 

。 覆 盖 风 险 和 威胁 分 析 的 基础 知识 。 


1.1 攻击 与 攻击 者 


第 一 代 移 动 电话 系统 投入 使 用 不 入， 英国 皇室 成 员 就 发 现 他 们 的 一 些 很 私人 的 通话 曝光 在 
一 些 报 纸 上 。 这 些 系 统 无 任何 保护 地 在 移动 电话 和 基站 间 传 送 通 信 信 号 ， 因 此 任何 人 只 要 使 用 
合适 的 设备 都 可 以 在 通话 中 进行 监听 。 第 二 代 移 动 电 话 系统 (如 GSM) 随后 包括 了 对 无 线 链 路 进 
行 保护 的 加 密 机 制 。 类 似 地 ， 在 因特网 上 使 用 信用 卡 进行 购物 交易 的 机 密 性 间 题 也 引起 了 人 人 
的 关注 。 基 本 的 因特网 协议 没有 提供 机 密 性 保护 ， 因 此 位 于 客户 和 商家 之 间 的 第 三 者 可 以 截获 
一 系列 信用 卡号 并 在 以 后 用 来 进行 欺诈 性 购物 。Netscape 开发 的 安全 套 接 字 层 (SSL) 协 议 就 是 用 
来 处 理 这 类 相当 严重 的 问题 。 

但 是 ， 真正 的 威胁 可 能 潜藏 在 别处 。 扫 描 因 特 网 上 包含 信用 卡 卡号 的 信息 包 的 通信 中 是 一 
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种 会 给 攻击 者 带 来 低 收益 的 攻击 。 而 攻击 位 于 商家 站 点 上 保护 措施 很 差 的 、 有 客户 信用 卡 信息 
的 数据 库 的 服务 器 将 给 攻击 者 带 来 更 大 的 回报 。 已 经 有 文章 证 实 出 现 了 这 类 针对 商家 服务 器 的 
攻击 事件 ， 其 目的 不 是 为 获得 信用 卡 卡号 就 是 敲诈 勒索 商家 。 

身份 盗用 (identity theft) ， 也 就 是 使 用 其 他 人 的 “身份 "(姓名 、 社 会 保障 号 、 银 号 账号 等 ) 来 
获得 对 某 一 资源 或 服务 的 访问 ， 它 利用 了 这 些 服务 中 使 用 非 保密 的 身份 信息 来 验证 请 求 的 内 在 
漏洞 。 

接受 外 部 用 户 输 入 的 软件 (如 因特网 浏览 器 或 邮件 软件 ) 中 的 漏洞 可 能 会 导致 外 部 各 方 对 设 
备 的 控制 。 攻 击 者 可 能 会 使 这 些 设备 上 的 数据 崩溃 或 者 使 用 这 些 设备 作为 进一步 攻击 第 三 方 的 
跳板 。 蠕 虫 和 病毒 正 是 利用 网 络 传播 的 广播 性 或 漏洞 来 广泛 扩散 的 ， 由 此 产生 的 大 量 通信 传输 
会 造成 网 络 和 终端 系统 过 载 。1988 年 11 月 的 因特网 娟 虫 是 早期 记录 完好 的 这 类 事件 的 一 个 案例 
( Eichin and Rochlis，1989)。 近 几 年 出 现 了 针对 特定 目标 的 拒绝 服务 攻击 (DoS)。 因 此 ， 在 设计 
安全 协议 时 ， 对 拒绝 服务 攻击 的 恢复 性 成 了 一 个 新 的 标准 。 

回 到 第 一 个 例子 ， 由 于 移动 电话 和 基站 间 的 通信 传送 未 加 保护 ， 攻 击 者 可 以 截获 用 来 对 客 
户 支付 进行 认证 的 “秘密 ”身份 标识 符 。 对 欺诈 实施 者 来 说 ， 主 要 路 口交 汇 处 是 一 个 埋伏 等 待 的 
好 位 置 。 在 盗 取 了 这 些 身 份 标识 后 ， 攻 击 者 便 可 以 制造 出 克隆 的 电话 来 使 用 ， 但 计 费 却 记 在 被 克 
隆 的 电话 的 用 户 账户 上 。 据 报道 ， 曾 经 有 段 时 间 ， 在 受到 严重 破坏 的 网 络 中 ，50% 以 上 的 电话 呼 
叫 都 是 这 种 欺骗 性 的 呼叫 。 l 

GSM 使 用 挑战 /回应 协议 进行 用 户 身份 的 认证 ， 在 认证 过 程 中 用 户 身 份 的 秘密 信息 不 进行 传 
送 ， 因 此 以 上 这 种 攻击 就 起 不 了 作用 。 然 而 ， 这 并 不 意味 着 支付 过 程 的 所 有 问题 都 解决 了 。 今 
天 ， 我 们 常常 看 到 诱骗 不 知情 的 客户 回 呼 由 攻击 者 拥有 的 有 奖 资费 号 码 ， 使 用 现 有 支付 系统 骗 
取 客 户 钱财 的 事情 。 这 种 攻击 是 通过 使 用 (或 误 用 ) 技 术 系统 ， 而 不 是 通过 利用 技术 系统 的 缺陷 
来 实现 的 。 其 对 策应 该 在 使 用 的 人 身上 去 找 ， 如 ， 在 回电 应 答 请 求 前 提高 警惕 ， 又 如 ， 要 弄 清 在 
合法 的 系统 中 进行 交易 支付 时 如 何 获得 客户 的 同意 从 其 账户 中 划 钱 。 

以 上 描述 的 案例 中 ， 攻 击 都 来 自 于 外 部 。“ 御 敌 于 城 门 之 外 "是 计算 机 安全 的 传统 的 范例 。 
然而 ， 对 攻击 来 源 的 统计 分 析 表 明 ， 大 部 分 安全 事件 和 大 部 分 危害 来 自 于 内 部 的 攻击 (联合 国 ， 
1999) 。 有 一 种 说 法 是 通过 因特网 的 攻击 可 能 会 改变 这 种 状况 ， 但 是 在 电子 商务 交易 或 机 构 组 织 
机 构 中 ， 内 部 欺诈 一 直 都 引起 相当 的 关注 。 

据说 ， 安 全 工程 的 目的 就 是 把 一 个 攻击 的 代价 提高 到 一 定 层次 ,使 攻击 的 付出 超过 攻击 者 
获得 的 价值 。 这 种 见识 是 比较 短 浅 的 。 因 为 并 非 每 一 个 攻击 者 的 动机 都 是 钱 的 驱使 。 因 人 员 过 条 
而 被 裁 掉 的 员工 可 能 极 想 对 前 任 雇主 进行 报复 。 黑 客 可 能 想 展示 他 们 的 技术 专长 ， 并 从 攻破 拉 
在 他 们 面前 的 安全 机 制 中 获得 特别 的 满足 。“ 姿 意 破坏 的 人 ”可 能 不 计 后 果 地 发 起 攻击 。 政 治 激 
进 分 子 可 能 会 “ 黑 掉 ”他 们 不 喜欢 的 网 站 。 

要 攻破 一 个 系统 所 需要 的 专业 技术 通常 都 有 一 一 些 相似 之 处 。 有 些 情况 下 ， 需要 结合 对 系统 
内 部 的 了 解 来 实现 一 个 成 功 的 攻击 。 在 这 方面 ， 社 会 工程 学 ( social engineering) 可 能 比 技术 手段 
更 重要 ( Mitnick and Simon，2002)。 在 电话 里 和 计算 机 操作 员 争 论 以 获得 一 个 用 户 账户 的 口令 是 
个 常用 的 策略 。 有 些 攻击 需要 对 技术 的 深入 掌握 。 还 有 一 些 攻击 可 以 自动 执行 并 且 可 以 从 网 站 
上 下 载 ， 以 便 那些 对 这 些 攻击 所 利用 的 漏洞 或 特性 知之 甚 少 的 脚本 小 子 (script kiddy) 也 能 够 使 用 
执行 。 

1.2 安全 
软件 可 能 崩溃 ， 通 信 网 络 可 能 中 断 ， 硬 件 可 能 失效 ， 操 作 人 员 可 能 犯错 误 。 只 要 这 些 故 障 不 
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和 人 为 的 故意 操作 直接 相关 ， 就 不 能 归 类 为 安全 问题 。 意 外 的 故障 可 能 是 可 靠 性 (reliability ) 的 问 
题 。 操 作 错误 可 能 是 使 用 性 (usability ) 的 问题 。 安 全 关注 的 是 人 为 的 故障 。 这 些 故 障 可 能 不 总 是 
为 达到 一 个 特定 目标 的 明显 意图 ， 但 在 某 种 程度 上 可 能 是 通过 一 个 人 做 了 不 应 该 做 的 事情 而 产 
生 的 结果 。 如 上 所 述 ， 这 种 行为 的 原因 是 多 种 多 样 的 。 安 全 问题 的 根本 原因 是 人 性 的 本 质 。 

安全 从 业者 知道 “安全 是 一 个 人 为 的 问题 ”， 因 此 不 能 仅仅 依靠 技术 来 解决 。 合 法 的 系统 必 
须 通过 数据 保护 和 计算 机 误 用 法 律 来 定义 可 接受 行为 的 界限 。 在 组 织 机 构 ( 可 以 是 公司 或 大 学 ) 
内 的 安全 职责 归根 到 底 还 是 管理 的 问题 。 用 户 必须 执行 和 遵守 其 所 在 组 织 机 构 内 的 安全 规则 。 
当然 ， 正 确 部 署 和 实施 技术 策略 也 是 整个 解决 方案 的 一 部 分 。 


1.3 安全 管理 


保护 组 织 机 构 的 资产 是 管理 的 责任 。 这 些 资产 包含 敏感 的 信息 (如 产品 计划 、 客 户 记录 或 财 
务 数据 ) 和 组 织 机 构 的 IT 架构 。 与 此 同时 ， 安 全 措施 常常 在 工作 模式 上 限制 组 织 机 构 的 成 员 ， 并 
可 能 会 诱惑 人 们 去 炫 疱 安全 规则 。 如 果 安 全 指令 不 是 来 自 上 级 管理 机 构 而 是 来 自 组织 的 其 他 部 
门 ， 这 种 情况 尤其 可 能 发 生 。 

强烈 建议 在 落实 安全 责任 时 ,这些 安全 措施 的 制定 都 要 有 上 级 管理 部 门 的 支持 。 首 席 执行 
官 签名 认可 的 简要 策略 文件 (policy document) 可 以 作为 安全 管理 的 基础 。 这 个 文件 应 该 人 手 一 
册 。 然 后 ， 就 可 以 组 织 安全 意识 (security awareness) 计划。 这 并 不 是 要 求 所 有 的 成 员 都 成 为 安全 
问题 专家 ， 但 是 他 们 都 应 该 知道 ; | 

。 为 什么 安全 问题 对 于 他 们 和 组织 机 构 ( 公 司 ) 如 此 重要 。 

。 对 每 个 成 员 有 什么 要 求 。 

。 他 们 应 该 遵守 什么 样 的 好 习惯 。 

用 户 会 忽略 显然 不 合理 的 安全 规则 ， 这 其 实 和 安全 专家 会 把 不 讲理 的 用 户 视 作 敌人 一 样 。 
强迫 用 户 遵守 他 们 认为 武断 的 安全 规则 并 不 是 一 个 有 效 的 方法 。 研 究 表明 ， 让 用 户 像 股东 那样 
参与 到 他 们 组 织 机 构 安 全 机 制 建设 中 ， 可 以 让 他 们 自觉 地 遵守 安全 规则 而 不 是 抵触 安全 规则 
(Adams and Sasse, 1999) 。 

一 个 公司 开发 IT 服务 或 产品 时 ， 也 要 给 其 开发 人 员 提供 安全 培训 。 与 安全 相关 的 系统 部 分 
与 其 他 系统 部 分 之 间 并 没有 很 清楚 的 界限 。 所 以 让 开发 人 员 了 解 开 发 的 服务 部 署 的 环境 、 以 及 
预期 的 危险 ， 有 助 于 使 他 们 重视 保护 系统 安全 的 需要 ， 即 使 他 们 并 没有 亲自 实现 保护 机 制 。 开 发 
人 员 也 要 警惕 一 些 敏感 数据 的 分 类 。 例 如 私人 数据 ， 需 要 根据 特定 的 规则 和 规章 处 理 。 最 后 ， 开 
发 人 员 应 该 及 时 知道 编程 中 易 被 攻击 的 编码 漏洞 。 


1.3.1 安全 策略 


安全 策略 说 明了 应 该 保护 什么 同时 也 可 能 会 表明 该 怎样 保护 。 为 了 不 引起 混淆 ， i 
H Steme(1991) 中 给 出 的 安全 策略 的 定义 ， 并 区 分 有 组 织 的 和 自动 的 安全 策略 之 间 的 区 别 。 一 
策略 有 其 特定 的 目标 : 

安全 策略 目标 。 即 是 一 个 声明 ， 用 于 保护 可 识别 资源 ， 防 止 未 授权 使 用 。 

同时 安全 策略 也 应 该 解释 该 目的 应 该 怎样 达到 。 这 一 点 应 该 先 在 组 织 一 级 实现 。 

有 组 织 的 安全 策略 ”一 组 法 律 、 规 则 和 实践 的 集合 。 这 个 集合 用 来 规范 一 个 组 织 的 管理 ， 保 
护 和 分 配 资源 以 达到 特定 的 安全 策略 目标 。 

在 开 系 统 中 ， 有 组 织 的 安全 策略 可 以 由 技术 方法 支持 。 

自动 的 安全 策略 ”一 组 限制 和 属性 的 集合 。 这 个 集合 用 来 指明 一 个 计算 系统 怎样 保护 信息 
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和 计算 资源 不 被 非法 地 使 用 而 违背 有 组 织 的 安全 策略 。 
自动 的 安全 策略 解决 这 样 一 些 问题 对 访问 控制 列表 或 者 对 防火 墙 设置 的 定义 ， 对 可 能 运行 
在 设备 上 的 服务 和 用 于 保护 网 络 通信 的 安全 协议 的 决策 。 


1.3.2 测量 安全 


测量 安全 是 安全 工程 的 关键 。 为 了 让 经 理 (或 者 客户 ) 相信 新 的 安全 机 制 带 来 的 好 处 ， 如 果 
我 们 能 够 测量 引入 安全 机 制 前 后 系统 的 安全 程度 的 话 不 是 很 棒 吗 ? 确实 ,没有 前 面 测量 得 出 的 
定量 数据 ， 想 要 作出 一 个 良好 的 管理 决策 是 很 难 的 。 理 想 情况 下 ， 测 量 (measurement) 可 以 得 出 
一 个 定量 结果 ， 和 别 的 测量 结果 做 比较 ， 而 不 仅仅 是 对 被 分 析 的 产品 或 系统 安全 的 定性 声明 。 

o 产品 (product) 是 指 IT 软件 、 固 件 和 /或 硬件 的 包 ， 它 可 提供 专 为 多 种 系统 的 使 用 或 合并 

而 设计 的 功能 。 

e 系 统 (system) 是 特定 的 IT 装置 ， 有 特定 的 目标 和 操作 环境 (CCIB，2004a)。 

产品 测量 可 以 表明 它 的 安全 潜力 ， 但 是 即使 是 安全 的 产品 也 能 被 不 安全 地 部 署 。 一 个 显著 
的 例子 就 是 服务 账号 的 默认 口令 不 能 更 改 。 因 此 安全 管理 的 任务 是 确保 提供 的 安全 属性 被 正确 
合理 地 使 用 。 对 于 产品 ， 可 以 用 其 检测 到 的 安全 缺陷 (漏洞 ) 数 作为 安全 度 的 衡量 依据 。 根 据 追 
踪 发 现 缺陷 的 时 间 可 以 作为 预测 下 一 个 缺陷 发 现时 间 的 基础 。 相 关 的 一 套 方法 已 经 在 软件 可 千 
性 (software reliability ) 领域 完善 起 来 。 这 套 研究 方法 假定 缺陷 的 检测 和 漏洞 代码 的 调用 由 一 个 给 
定 了 验 前 的 概率 分 布 函数 或 者 一 组 给 定 的 还 要 估计 参数 的 分 布 函数 控制 。 另 一 个 建议 是 测量 一 
个 产品 的 攻击 表面 (attack surface) ， 如 对 外 调用 的 接口 数量 和 和 代码 中 危险 命令 的 数量 。 

这 些 建 议 在 某 种 意义 上 来 说 给 出 了 定量 的 结果 ,但 它们 是 否 真 正 测量 了 安全 程度 还 是 有 争 
议 的 。 安 全 漏洞 的 数量 究竟 有 多 大 关系 呢 ?” 攻 击 者 往往 很 容易 找到 和 利用 一 个 漏 润 来 威胁 系统 
的 安全 性 。 考 虑 到 很 少 有 两 种 产品 都 完全 相同 地 解决 一 个 问题 ， 用 这 种 定量 的 方法 作为 有 意义 
的 比较 产品 安全 性 的 基础 还 是 有 争议 的 。 因 此 ， 建 议 这 些 测量 的 数据 作为 定性 的 测量 用 于 监控 
一 种 产品 的 优化 。 

对 系统 的 安全 测量 可 以 参考 部 署 的 实际 配置 。 在 有 访问 控制 特性 的 系统 中 ， 我 们 可 以 参考 
有 系统 优先 权 的 账户 数量 或 者 参考 弱 口 令 的 账户 数 。 在 一 个 联机 系统 中 ,我 们 可 以 参考 开放 的 
端口 数 和 从 外 部 可 访问 的 服务 ， 或 者 现在 运行 的 版 本 是 否 有 已 知 的 易 被 攻击 的 地 方 。 这 些 属 性 
肯定 能 提供 有 价值 的 状态 信息 (status information) ， 但 是 并 不 会 真正 给 出 测量 要 求 的 定量 的 结果 。 

对 于 计算 机 网 络 ， 我 们 可 以 测量 网 络 中 节点 的 连通 性 ， 以 评估 攻击 能 传播 多 快 多 远 。 我 们 也 
能 测量 在 攻击 之 后 服务 竣 痰 的 时 间 ， 或 者 在 知道 配置 的 情况 和 攻击 的 程度 时 预测 修复 恢复 服务 
所 要 花费 的 时 间 和 费用 。 

另外 一 种 方法 是 通过 测量 开始 攻击 的 花费 来 测量 安全 性 。 要 考虑 : 

。 在 攻击 中 ， 攻 击 者 需要 投入 的 时 间 ， 例 如 分 析 软 件 产品 以 找 出 漏洞 。 

。 攻击 者 的 花费 ， 例 如 计算 周期 或 特殊 的 装备 。 

© 发 动 攻击 必要 的 知识 储备 。 

然而 ， 在 第 一 时 间 发 现 攻 击 所 要 的 花费 经 常 要 比 发 动 攻击 需要 的 花费 多 得 多 。 今 天 ， 因 为 有 了 
攻击 脚本 (attack script) 使 得 只 要 一 点 投入 或 者 只 要 知道 一 点 所 要 攻击 系统 的 漏洞 就 可 以 发 动 攻击 。 

还 有 一 个 方法 ,我们 可 以 关注 给 定 系统 的 资产 ， 并 测量 这 些 资 产 被 暴露 的 风险 。1. 4. 4 节 将 
给 出 风险 和 威胁 分 析 的 概论 。 总 之 ， 理 想 的 安全 策略 是 ， 我 们 能 对 一 些 安全 的 个 别 方面 有 最 好 的 
度量 ， 搜 寻 更 好 的 度量 仍然 是 一 个 开放 的 研究 领域 。 
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1.3.3 标准 


已 制定 的 安全 管理 标准 规定 了 在 特定 的 工业 分 支 中 需要 采用 哪些 安全 措施 。 典 型 的 例子 是 
金融 行业 的 规定 2 ， 或 者 是 政府 部 门 中 处 理 机 密 材料 时 的 规定 2 。 

其 他 管理 标准 应 该 描述 为 安全 管理 的 最 佳 实践 的 代码 。 这 些 标准 中 最 著名 的 是 ISO 17799 
(国际 标准 化 组 织 ，2001 ) 。 它 不 是 安全 产品 ， 也 不 是 对 产品 和 系统 的 评价 标准 集合 的 技术 标准 。 
ISO 17799 的 主要 内 容 如 下 。 

e 建立 有 组 织 的 安全 策略 : 这 个 文件 对 安全 问题 提供 了 管理 指导 和 支持 。 

。 组 织 性 安全 基础 设施 : 在 企业 中 ， 应 很 合理 的 组 织 的 安全 责任 。 管 理 人 员 应 该 可 以 得 到 企 

业 精 确 的 安全 状态 。 报 告 制度 应 该 能 促进 有 效 的 交流 和 安全 决策 的 实现 。 当 信息 服务 外 
包 给 第 三 方 时 ， 安全 性 应 该 被 保持 。 

。 资产 分 类 和 控制 : 要 确定 什么 值得 保护 ， 要 投入 多 少 开销 保护 。 企 业 应 该 有 自己 的 清晰 的 

资产 及 其 价值 的 资料 。 

e 物理 和 环境 安全 : 物理 安全 措施 (保卫 、 门 锁 等 ) ,保护 进入 商业 重地 和 敏感 区 域 。 例 如 

只 有 被 授权 的 人 可 以 进入 服务 器 所 在 地 。 这 些 措施 可 以 防止 非法 访问 敏感 信息 和 盗 取 设 
备 。 自 然 灾害 发 生 的 可 能 性 取决 于 环境 因素 ， 例 如 该 地 区 是 否 易 遭 洪水 ? 

e 个 人 安全 : 你 自身 或 者 承包 者 可 能 是 不 安全 来 源 。 对 于 新 雇员 的 加 入 和 雇员 的 离开 都 应 
该 履行 一 些 手 续 和 程序 (例如 收回 钥匙 和 准 人 证 ， 删 除 离开 的 雇员 账户 ) 。 加 强 假期 管理 
可 以 阻止 雇员 隐藏 他 们 作假 的 痕迹 。 对 于 新 雇员 做 背景 核对 也 是 个 不 错 的 主意 。 某 些 部 门 
中 这 些 检查 是 法 律 所 要 求 的 ， 但 也 有 隐私 法 来 限制 雇主 可 以 调查 雇员 的 哪些 信息 。 

。 交流 和 运作 管理 ， 日常 的 IT 系统 管理 和 商业 处 理 必 须 保 证 保持 了 安全 性 。 

。 访问 控制 : 对 数据 、 服 务 和 计算 机 实行 访问 控制 。 应 特别 注意 对 远程 访问 的 控制 。 例 如 通 
过 因特网 或 者 拨号 连接 。 自 动 的 安全 策略 定义 了 应 该 怎样 实施 控制 访问 。 

e 系统 开发 和 维护 : 一 个 信息 系统 在 开发 过 程 中 应 该 考虑 到 安全 问题 。 运 行 安全 取决 于 恰 
当 的 维护 ( 例如， 漏洞 的 修复 、 更 新 病毒 扫描 ) 。 信 息 系 统 支 持 部 分 的 引入 应 当 是 安全 的 
Cee NE NMEA ERNE 

， 谁 能 够 访问 敏感 的 数据 ) 。 

商业 持续 规划 ， 制订 好 措施 以 应 付 主 要 的 故障 和 事故 。 首 要 的 措施 是 将 重要 数据 的 备份 
转移 至 不 同 的 地 点 ， 接 着 可 能 继而 向 它们 提供 远程 备用 计算 设备 。 同 时 你 还 需要 为 失去 骨 
于 人 员 做 好 准备 。 

。 规范 性 : 公司 既 要 承担 合法 的 、 符 合 规章 和 契约 规定 的 职责 ， 也 要 遵守 职业 规范 和 他 们 自 
己 的 有 组 织 的 安全 策略 。 当 尝试 最 小 化 审计 过 程 对 商业 过 程 的 干扰 时 ， 应 保证 审计 过 程 
的 有 效 性 。 在 实际 工作 中 ， 这 些 方面 通常 会 是 一 个 比 技术 上 的 安全 测量 更 巨大 的 挑战 。 

达到 ISO 17799 的 标准 是 一 项 繁重 的 任务 。 公 司 目前 的 状态 相对 于 标准 应 当 是 确定 的 ， 任 何 
已 知 缺 点 应 该 得 到 解决 。 已 经 存在 这 样 的 软件 工具 ， 可 以 自动 处 理 部 分 的 这 类 过 程 ， 最 好 的 应 用 . 
就 是 实践 ， 只 有 此 时 才能 确保 与 标准 的 一 致 性 。 


1.4 风险 与 威胁 分 析 
工程 和 商业 的 许多 领域 都 发 展 了 自己 的 风险 分 析 规范 和 术语 。 在 本 节 中 ， 我 们 将 概述 信息 安 





O ”比如 Visa 支持 的 信用 卡 行业 数据 安全 标准 。 
名 ”上 比如 美国 策略 声称 他 们 使 用 192 比特 或 256 比特 加 密 算法 ABS 可 以 用 于 绝密 数据 的 处 理 。 








全 中 的 风险 分 析 。 在 IT 安全 中 ， 风 险 分 析 通 常 应 用 于 如 下 几 个 方面 : 

。 企 业 全 面 的 信息 资产 。 

o 企业 特殊 的 信息 基础 结构 。 

。 产品 和 系统 开发 过 程 ， 例 如 ， 软 件 安全 领域 。 

通常 来 说 ， 风 险 是 一 些 偶 然 事件 或 攻击 对 企业 造成 损失 的 可 能 性 。 对 信息 技术 系统 的 攻击 
由 一 系列 利用 系统 漏洞 的 操作 组 成 ， 直 至 攻击 者 的 目标 达成 。 评 估 由 攻击 形成 的 风险 时 ， 我 们 应 
当 估算 攻击 造成 损坏 的 数量 和 这 种 攻击 事件 的 可 能 性 。 这 种 可 能 性 取决 于 攻击 者 的 动机 和 这 种 
攻击 所 需 支 持 的 难 易 程 度 。 话 说 回来 ， 这 进一步 取决 于 遭受 攻击 的 系统 的 安全 配置 。 

在 风险 分 析 过 程 中 ， 为 了 解 开 需要 追踪 研究 的 多 方面 的 问题 ， 我 们 将 涉及 到 资产 、 漏 洞 和 威 
胁 ， 并 将 它们 用 到 计算 风险 分 析 的 函数 中 。 非 正式 的 计算 公式 为 ; 

风险 = 资产 x 威胁 x 漏洞 

在 风险 分 析 的 过 程 中 ， 结 果 取 决 于 资产 、 漏 洞 和 威胁 。 在 定量 的 风险 分 析 中 ， 结 果 取 决 于 数 
学 定义 域 ， 就 像 一 个 概率 空间 。 例 如 ， 给 资产 赋予 货币 值 ， 威 胁 赋予 几率 值 ， 那 么 预期 的 损失 就 
可 以 计算 出 来 。 在 定性 的 风险 分 析 中 ,. 结果 由 那些 不 具 基 础 数学 结构 的 域 给 出 。 风 险 的 计算 基于 
整合 了 的 安全 专家 建议 的 规则 给 出 。 


1.4.1 资产 
首先 ， 资 产 应 当 是 被 鉴定 和 评估 过 的 。 在 一 个 开 系 统 中 ,资产 包括 以 下 几 个 方面 。 


。 硬件 : 膝 上 上 电脑、 服务器、 路 由 器 、 个 人 数字 助理 (PDA) 、 移 动 电话 、 智 能 卡 等 。 

。 软件 : 应 用 程序 、 操 作 系 统 、 数 据 库 管理 系统 、 源 代码 、 目 标 代 码 等 。 

。 数据 和 信息 : 运行 和 规划 事务 的 必需 数据 、 设 计 文档 、 数 字 编 目 、 客 户 信息 等 。 

。 名誉 。 

资产 的 鉴定 需要 通过 相关 的 直接 系统 的 训练 。 资 产 的 估价 不 仅仅 是 一 项 挑战 。 一 些 资产 ， 例 
如 硬件 ， 可 以 用 它们 的 等 价 货币 值 来 估价 。 但 是 ， 另 外 一 些 资产 ， 例 如 数据 和 信息 的 评估 会 更 加 
困难 。 如 果 商 业 计划 泄露 给 了 竞争 对 手 , 或 者 客户 的 私人 信息 被 泄露 ， 你 应 当 计 算 因 丢失 商业 机 
会 而 造成 的 间接 损失 。 你 的 对 手 可 能 会 比 你 叫价 低 ， 你 的 客户 也 可 能 会 抛弃 你 。 甚 至 设备 遗失 或 
被 盗窃 时 ， 你 必须 考虑 到 上 面 存储 的 数据 的 价值 和 运营 在 设备 上 的 服务 的 价值 。 在 这 种 情况 下 ， 
资产 的 价值 根据 它们 的 重要 性 而 决定 。 判 断 重 要 性 的 一 个 手段 是 ， 想 想 如 果 某 一 资产 遭受 损坏 ， 
你 的 生意 能 维持 多 久 : 一 天 、 一 星期 还 是 一 个 月 ? 


1.4.2 漏洞 


漏洞 是 系统 的 弱点 ， 会 偶然 地 或 蓄意 的 被 人 利用 致使 资产 受到 破坏 。 在 信息 技术 系统 中 ， 典 
型 的 漏洞 包括 : 

。 系统 特权 账户 没有 更 改 默认 的 口令 ,例如 “MANAGER”。 

。 程序 有 多 余 的 特权 。 

。 程序 存在 已 知 缺 陷 。 

。 资源 的 弱 访 问 控 制 ， 例 如 ， 内 核 的 完全 可 写 。 

。 弱 防 火 墙 配置 ， 允 许 对 有 漏洞 的 服务 的 访问 。 

漏洞 扫描 仪 (vulnerability scanner) 提供 了 系统 的 、 自 动 漏洞 识别 功能 。 其 已 知 漏洞 的 信息 知 
识 库 需 要 不 断 保持 更 新 。 像 SANS 或 者 计算 机 紧急 响应 组 (CERT) 这样 的 组 织 就 提供 此 类 信息 ， 
同时 给 软件 公司 提供 安全 建议 。 





#4 7 7 





漏洞 可 由 它们 造成 的 影响 定 级 (危险 级 别 ) 。 让 攻击 者 获得 系统 特权 账户 的 漏洞 比 获 得 底层 
用 户 账 户 的 漏洞 具有 更 高 的 危险 等 级 。 人 允许 攻击 者 完全 模拟 用 户 的 漏洞 比 让 用 户 只 能 在 特定 环 
境 中 模拟 单独 的 特殊 服务 的 漏洞 拥有 更 高 的 危险 等 级 。 一 些 扫描 工具 会 在 侦 测 到 漏洞 的 同时 为 
其 标 出 等 级 。 

信息 技术 安全 中 的 术语 出 了 名 的 不 精确 ， 你 可 能 会 发 现 漏洞 扫描 仪 被 当 作 是 风险 分 析 工 具 
来 出 售 。 这 无 疑 有 些 挂 羊 头 卖 狗肉 的 嫌疑 所 以 你 的 职责 就 是 找 出 这 些 所谓 的 “风险 分 析 工 具 ” 
事实 上 能 提供 什么 ， 然 后 将 它 物 尽 其 用 。 


1.4.3 威胁 


威胁 是 对 手 利用 漏洞 去 损坏 资产 的 行为 。 识 别 威 胁 的 方法 各 异 。 我 们 可 以 根据 对 资产 造成 
的 损坏 对 威胁 进行 分 类 。 例 如 ， 微 软 有 关 软 件 安全 的 STRIDE 威胁 模型 分 类 列表 如 下 。 

e 欺骗 身份 认证 ， 攻击 者 伪装 成 某 用 户 。 

。 数据 自 改 : 例如 ， 安 全 配置 被 更 改 以 便 攻 击 者 能 获得 更 多 的 特权 。 

e。 抵赖 : 用 户 否认 执行 了 带 有 攻击 性 的 操作 或 者 完成 了 交易 。 

e 信息 泄露 : 信息 因为 泄露 给 了 错误 的 对 象 而 可 能 会 丧失 原 有 的 价值 (例如 商业 秘密 ); 机 

构 可 能 因 没 有 恰当 地 保护 信息 而 面临 处 罚 ( 例 如 私人 信息 ) 。 

e 拒绝 服务 攻击 (DoS ) : DoS 攻击 会 造成 站 点 的 临时 不 可 用 ; 已 经 有 相关 出 版 物 讲述 了 利用 

这 种 攻击 来 损害 竞争 者 的 事件 。 

e 提高 特权 : 用 户 在 计算 机 系统 上 获得 比 自己 原 有 资格 更 高 的 特权 。 

接 下 来 我 们 可 以 鉴别 攻击 的 来 源 。 对 手 是 机 构 的 一 员 、 外 部 人 员 、 订 约 人 或 者 以 前 的 成 员 ? 
对 手 是 直接 访问 你 的 系统 或 是 进行 远程 攻击 ? l 

我 们 同样 可 以 分 析 攻 击 执行 的 细节 。 一 开始 ， 攻 击 可 能 无 害 ， 它 只 是 收集 必需 的 信息 以 获取 
机 器 上 的 特权 ， 再 转 到 另 一 机 器 上 ， 直 到 达成 最 后 的 目的 。 为 了 得 到 更 加 完善 的 潜在 威胁 图 ， 可 
以 构建 攻击 树 (attack tree) 。 攻 击 树 的 根 是 一 般 类 的 攻击 。 树 节点 是 达成 攻击 所 需 的 子 目标 。 子 
目标 可 以 进一步 划分 为 子 目 标 。 其 中 有 AND 和 OR 节点 。 为 了 到 达 AND 节点 ， 所 有 的 子 节 点 都 
必须 达成 。OR 节点 只 要 一 个 及 以 上 的 子 目 标 达成 即 可 。 图 1-1 给 出 了 基本 的 口令 获取 攻击 树 。 
口令 可 通过 猜测 、 哄 骗 操 作 员 说 出 ， 或 者 监视 他 人 而 得 到 。 猜 测 分 为 在 线 和 离线 。 对 于 离线 猜 
测 ， 攻 击 者 需要 获得 加 密 口 令 并 完成 字典 攻击 。 攻 击 者 也 可 以 人 工 监视 受害 者 ( 即 所 谓 的 shouder 
surfing) ， 在 键盘 上 安装 摄像 机 或 话 简 ， 通 过 声音 区 分 所 击 的 键 。 










图 1-1 获取 用 户口 令 的 攻击 树 


可 以 为 攻击 树 的 边 赋值 。 这 些 值 可 以 估算 出 攻击 的 成 本 、 发 生 的 可 能 性 、 成 功 的 可 能 性 ， 或 
其 他 方面 。 通 过 这 些 值 ， 我 们 可 以 计算 最 廉价 的 攻击 、 最 有 可 能 发 生 的 攻击 或 者 最 可 能 成 功 的 
攻击 。 
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攻击 树 是 一 种 形象 化 、 结 构 化 的 威胁 分 析 方 法 。 当 全 局 的 威胁 评估 可 以 由 独立 子 目标 判断 
时 ， 威 胁 评估 便 具 备 了 可 复制 性 。 如 果 最 后 的 结果 难以 置信 ， 那 么 应 当 考 虑 树 的 哪些 子 目 标 对 最 
后 的 结果 起 关键 的 作用 ， 那 些 值 可 能 应 该 调整 为 更 “合理 ”的 值 。 以 上 要 点 解释 了 为 什么 构造 攻 
击 树 不 仅 是 科学 也 是 一 门 艺术 。 你 需要 经 验 来 告诉 自己 应 该 什么 时 候 重新 调整 子 目 标的 等 级 ， 
什么 时 候 调 整 对 某 个 威胁 的 严重 性 的 预期 看 法 。 你 同样 需要 经 验 来 知道 应 该 什么 时 候 停止 子 目 
标的 继续 划分 ， 即 交易 中 的 一 种 称 作 分 析 竣 首 (analysis paralysis) 的 现象 。 

威胁 可 以 根据 它们 的 可 能 性 来 评定 。 可 能 性 决定 于 攻击 的 难 易 程度 、 攻 击 者 的 动机 以 及 潜 
在 的 攻击 者 人 数 。 攻 击 脚 本 使 攻击 变 得 自动 化 ， 发 动 攻击 更 加 容易 。 它 们 还 可 能 为 大 量 攻 击 者 所 
适用 。 因 此 ， 这 种 攻击 与 个 别 的 手工 攻击 比较 起 来 更 有 可 能 性 。 


1.4.4 风险 


在 评定 资产 价值 、 漏 洞 危险 程度 和 威胁 可 能 性 之 后 ， 我 们 开始 复杂 的 风险 计算 工作 。 

定量 风险 分 析 中 ， 预 期 损失 可 以 按照 概率 论 中 的 构架 来 计算 ， 它 是 基于 资产 货币 价值 和 威 
胁 可 能 性 的 概率 。 这 种 方法 不 仅 拥 有 基于 良好 根基 的 数学 理论 的 优点 ， 同 时 也 有 相当 的 缺陷 ， 即 
我 们 所 得 到 的 评定 往往 是 根据 事实 或 经 验 作 出 的 猜测 。 简 而 言 之 ， 我 们 所 获得 的 结果 的 质量 不 
如 提供 的 投入 的 质量 高 。 我 们 可 以 考虑 使 用 其 他 的 数学 构架 比如 模糊 理论 来 防备 评定 的 不 精确 
性 。 某 些 风险 分 析 领 域 可 进行 定量 分 析 ， 但 更 多 的 是 由 于 投入 的 不 精确 性 导致 无 法 确定 采用 何 
种 数字 处 理 方 式 。 

定性 风险 分 析 如 下 。 

。 资产 可 根据 其 重要 等 级 来 评定 : 很 重要 一 重要 一 不 重要 。 

。 漏洞 的 危险 程度 可 根据 如 下 标准 来 评定 : 立刻 修补 一 尽快 修补 一 呆 会 修补 一 方便 时 再 

修补 。 

© 威胁 可 根据 其 可 能 性 大 小 来 评定 : 很 可 能 一 可 能 一 不 可 能 一 极 不 可 能 。 

可 提供 一 个 好 的 衡量 粒度 ， 比 如 从 1 ~ 10 的 数值 。 无 论 用 什么 方案 ， 都 必须 给 予 评定 的 指 
南 。 资 产 评定 、 漏 洞 和 导致 风险 的 威胁 的 上 映射 常 由 拟定 的 反映 保密 专家 的 判断 的 表 给 出 。 补 充 
STRIDE 的 DREAD 方法 论 可 作为 定性 分 析 的 一 个 方案 ( Howard and LeBlanc, 2002) 。 

。 潜在 损害 : 与 受 损 资产 价值 相关 。 

e 可 复制 性 : 发 动 攻击 难 易 的 表现 ; 可 再 生 的 攻击 比 只 在 特定 环境 下 才 有 效 的 攻击 的 风险 

更 大 。 

e 可 利用 性 : 与 发 动 攻击 所 需 的 努力 、 技 术 和 资源 相关 。 

。 受害 用 户 : 对 软件 销售 商 来 说 ， 这 是 另外 一 个 会 导致 潜在 损害 的 重要 因素 。 

e 可 发 现 力 : 攻击 何 时 被 检测 到 ? 在 严重 破坏 的 情况 下 ， 无 法 获知 系统 已 经 中 招 了 (在 第 二 

次 世界 大 战 中 ， 德 国 的 情报 系统 就 拒 不 相信 他 们 的 很 多 加 密 方案 已 被 多 次 破解 ) 。 


1.4.5 对 策 一 一 减轻 风险 


风险 分 析 的 结果 是 : 一 份 按 优先 级 排序 的 威胁 列表 以 及 一 些 建议 的 用 于 减轻 风险 的 对 策 。 
风险 分 析 工 具 通 常 与 应 付 威胁 的 对 策 的 知识 一 起 运用 。 | 

在 决定 使 用 哪 种 安全 措施 之 前 先进 行 风险 分 析 ， 这 种 做 法 看 似 很 对 。 但 是 ， 有 两 个 原因 可 以 
说 明 为 什么 这 个 想法 不 可 行 。 为 一 个 大 型 机 构 执 行 风险 分 析 需 要 一 定 的 时 间 , 但 是 该 机 构 的 IT 
系统 和 其 周围 的 环境 却 在 不 断 变化 。 所 以 ， 到 给 出 分 析 结 果 时 ， 有 些 分 析 已 经 过 时 了 。 此 外 ， 管 
理 部 门 很 难 界 定 一 份 全 面 的 风险 分 析 的 开销 。 
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由 于 这 些 原因 ， 组 织 机 构 或 许 会 选择 基准 防护 (baseline protection) 作为 折 中 的 方案 。 这 种 方 
法 分 析 了 典型 案例 的 安全 需要 并 推荐 适度 的 安全 。 德 国信 息 安 全 局 就 一 直 在 维护 一 个 很 有 名 的 
IT 安全 性 基准 文件 (BS7，2003 ) 。 


1.5 深层 阅读 

Anderson 关于 安全 工程 的 书 全 面 阐述 了 安全 性 面临 的 难题 并 给 出 了 出 色 的 见解 (2001) 。 关 
于 安全 管理 和 一 般 意义 上 的 IT 安全 性 问题 的 有 效 讨论 可 以 在 Smith( 1993) 的 书 中 找到 。 有 关 安 全 
策略 的 各 种 术语 的 含义 在 Sterne( 1991 ) 的 书 中 已 给 出 。Martin Smith(1993) 关 于 在 商业 机 构 中 定 
义 安全 策略 的 讨论 直到 今天 仍然 有 意义 。 信 息 安全 风险 管理 在 Alberts and Dorofee(2003) 中 有 所 
论述 。 
1.6 练习 


练习 1.1 讨论 衡量 产品 和 系统 安全 的 高 级 选择 。 

练习 1.2 在 你 使 用 的 计算 系统 中 ， 识 别 出 潜 在 的 、 可 能 包括 安全 机 制 的 软件 组 件 。 

练习 1.3 即使 计算 机 中 心 处 于 地 势 高 且 干 蛙 的 地 势 ， 危 险 分 析 中 是 否 也 应 该 包括 洪水 对 计 
算 设备 的 破坏 ? 

练习 1.4 对 一 个 手机 服务 进行 风险 和 威胁 分 析 ， 可 在 分 析 中 考虑 消息 是 通过 手机 与 基站 之 
间 的 无 线 电 发 送 的 ， 以 及 国际 漫游 用 户 在 国外 旅行 时 可 以 使 用 所 请 的 访问 网 络 中 的 服务 。 分 析 
时 ， 试 思考 用 户 和 网 络 操作 员 的 观点 。 

练习 1.5 银行 客户 可 以 在 自动 取款 机 (ATM) 上 使 用 现金 卡 和 个 人 识别 码 (PIN) 取 出 现金 。 
同时 从 客户 和 银行 两 个 角度 来 考虑 该 应 用 的 风险 和 威胁 分 析 。 

练习 1.6 考虑 一 个 大 学 某 系 的 中 心服 务 器 失窃 的 情况 。 如 果 发 生 这 种 情况 ， 哪 些 资产 可 能 
被 破坏 ? 试 对 此 威胁 构建 一 棵 攻击 树 。 





第 2 章 计算 机 安全 基础 


如 果 没 有 明确 定义 “计算 机 安全 "这 个 主题 的 含义 和 范畴 ， 我 们 就 不 能 有 意义 地 探究 这 个 主 
题 。 如 果 没 有 一 些 一 般 性 的 指导 原则 来 帮助 我 们 理解 今天 将 会 遇 到 的 多 种 概念 和 安全 机 制 ， 我 
们 也 不 可 能 开始 这 样 一 个 讨论 。 因 此 ， 我 们 的 首要 任务 就 是 搜寻 一 个 计算 机 安全 的 定义 。 为 了 避 
免 孤 立地 讨论 个 人 的 安全 系统 ， 我 们 将 会 提出 一 组 一 般 性 的 能 够 指导 安全 信息 处 理 系统 设计 的 
工程 学 原则 。 非 常 欢迎 读者 在 整 本 书 的 多 种 安全 系统 中 找 出 这 些 原则 。 

目标 

。 找到 一 个 计算 机 安全 的 定义 ,介绍 机 密 性 、 完 整 性 和 可 用 性 。 

。 解释 计算 机 安全 在 基本 层面 上 的 进退 两 难 的 困境 。 

© 提 及 一 些 在 构件 安全 系统 时 必须 制定 的 一 般 性 的 设计 决策 。 

。 指出 计算 机 安全 机 制 必须 依靠 物理 的 或 者 有 组 织 的 保护 措施 才能 够 生效 。 


2.1 定义 


按照 良好 的 学 术 传 统 ， 应 通过 定义 研究 目标 来 开始 研究 工作 。 至 少 ， 我 们 应 该 尝试 这 样 做 。 
计算 机 安全 研究 是 在 计算 机 系统 中 维护 安全 所 使 用 的 技术 。 不 必 去 区 分 计算 机 系统 (不 确切 地 
说 ， 是 指 内 有 处 理 器 和 存储 器 的 装置 ) 和 信息 技术 (IT) 系 统 (不 确切 地 说 ， 是 指 紧密 耦合 的 计算 
机 系统 网 络 ) ， 因 为 随 着 技术 的 不 断 飞速 发 展 ， 现 代 的 计算 机 已 经 是 一 种 由 各 部 件 基 密 耦 合 而 成 
的 网 络 ， 曾 经 是 应 用 程序 的 软件 也 可 能 成 为 操作 系统 的 一 部 分 。Web 浏览 器 就 是 当前 这 种 趋势 
的 一 个 鲜明 例子 。 在 机 器 上 运行 的 软件 不 需要 存储 在 机 器 上 ， 可 以 来 自 于 因特网 上 的 Web 服务 
器 。 由 此 ， 可 以 将 “计算 机 安全 ”和 “IT 安全 ”作为 同义词 来 使 用 ， 而 不 会 引起 太 多 的 误解 。 

在 一 看 ， 安 全 好 像 是 一 个 显而易见 的 概念 ， 然 而 ， 当 试图 讲述 它 的 确切 含义 时 ， 似 乎 离 显 而 
易 见 越 来 越 远 了 。 人 们 在 起 草 计算 机 安全 的 定义 以 及 随后 对 这 些 定义 进行 修正 时 已 经 做 了 大 量 
的 努力 。 但 是 这 些 文档 的 编写 者 几乎 无 一 例外 地 都 被 批评 为 眼光 过 于 狭窄 ， 或 过 多 地 介入 了 严 
格 意义 上 来 说 不 属于 计算 机 安全 的 一 些 计算 机 科学 领域 。 


2.1.1 安全 


安全 是 关于 资产 的 保护 。 这 个 定义 意味 着 必须 知道 资产 及 其 价值 ， 这 种 带 有 一 般 性 的 看 法 
当然 也 适用 于 计算 机 安全 ， 在 此 书 的 1.4 节 中 已 经 提 到 风险 分 析 的 作用 。 本 章 主要 关注 计算 机 系 
统 的 保护 措施 ， 对 这 些 保护 措施 的 大 致 分 类 如 下 。 l 

。 预防 ; 采取 措施 防止 资产 遭受 损害 。 

。 检 测 : 采取 措施 检测 出 什么 时 候 资 产 受 损 ， 它 是 怎么 受 损 的 ， 以 及 是 谁 造成 的 损害 。 

。 反应; 采取 措施 以 便 能 够 重新 获得 资产 ， 或 者 使 资产 从 损害 中 恢复 。 

为 了 说 明 这 一 点 ， 可 以 你 家 中 贵重 物品 的 保护 为 例 进行 说 明 。 

。 预防 : 门窗 上 的 锁 以 及 窗 门 使 盗贼 难以 奖 入 你 家 ; 保护 地 产 的 围墙 ， 或 中 世纪 城堡 外 的 护 
城 河 可 增加 男 一 层 保护 。 

。 检测 : 当 某 样 东 西 不 在 某 个 地 方 时 ， 你 可 能 会 察觉 到 它 被 偷 了 ; 当 入 室 事件 发 和 时， 报警 
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器 便 会 鸣 响 ; 闭路 电视 提供 的 信息 可 以 帮助 确定 人 侵 者 。 
e 反应; 你 可 以 打 电 话 报警 。 你 可 能 决定 用 其 他 物品 替代 被 偷 物品 ， 警 察 可 能 会 追 回 失窃 物 
品 并 送 还 给 你 。 

来 自 现实 世界 的 例子 有 助 于 解释 计算 机 安全 的 原则 。 然 而 ， 将 物理 安全 与 计算 机 安全 进行 
类 比 并 不 总 是 可 能 的 或 是 可 取 的 。 事 实 上 ， 有 些 术语 应 用 于 信息 技术 环境 时 很 容易 引起 误解 。 为 
此 列举 与 讨论 的 领域 有 密切 关系 的 例子 ， 考 虑 使 用 信用 卡号 在 因特网 上 购物 的 情况 。 一 个 骗子 
可 能 使 用 你 的 信用 卡号 购物 ， 而 费用 从 你 的 卡 上 扣除 ， 你 该 怎么 来 保护 你 自己 呢 ? | 

。 预防 ;下 订单 时 使 用 口令 ; 依靠 贸易 商行 在 接受 信用 卡 购物 订单 前 对 购物 者 进行 某 些 检 

查 ; 不 在 因特网 上 使 用 信用 卡号 。 

。 检测: 一 项 未 经 你 授权 的 交易 出 现在 你 的 信用 卡 账单 上 。 

e 反 应 ; 你 可 以 申请 一 个 新 的 卡号 ， 其 诈 交 易 的 损失 可 以 由 持 卡 人 人、 骗子 购物 的 商行 或 者 信 
用 卡 的 发 行商 承担 。 

在 这 个 例子 中 ， 骗 子 “ 窃 取 ” 了 你 的 卡号 ， 但 你 依然 持 有 这 张 卡 ， 这 和 你 的 卡 被 盗 的 情况 是 
不 同 的 。 因 些 在 某 些 法 律 框架 下 ， 比 如 在 英国 ， 骗 子 不 能 被 起 诉 为 盗窃 你 的 信用 卡 卡号 。 必 须 制 
定 新 的 律 法 来 解决 这 个 新 的 问题 。 

考虑 保护 机 密 信 息 的 选项 ， 继 续 关 于 保护 问题 进行 讨论 。 有 可 能 仅 当 秘密 揭露 时 才 发 现 已 
经 泄密 ， 而 在 某 些 情况 下 ， 损 失 已 无 法 挽回 。 你 的 竞争 对 手 可 能 已 经 得 到 了 你 耗费 数 年 功夫 完成 
的 产品 设计 ， 在 你 之 前 占领 了 市 场 ， 并 获取 了 全 部 的 利润 ， 而 你 却 坎 业 了 ， 在 这 种 情形 下 ， 预 防 
是 唯一 的 选择 。 这 也 解释 了 为 什么 历来 计算 机 安全 相当 重视 对 机 密 信息 泄露 的 预防 。 

在 预防 和 检测 之 间 并 不 总 是 存在 折衷 方案 。 实 践 证 明 ， 你 投入 到 预防 中 的 财力 和 物力 越 多 ， 
那么 为 了 确认 预防 确实 有 效 ， 你 也 就 不 得 不 在 检测 中 投入 越 来 越 多 的 财力 和 物力 。 


2.1.2 计算 机 安全 


为 了 获得 计算 机 安全 的 概念 ， 可 先 分 析 信息 资产 是 如 何 受 到 损害 的 。 最 常见 的 定义 包括 以 
下 三 个 方面 。 

e 机 密 性 (confidentiality ) ， 防 止 未 经 授权 的 信息 泄露 。 

e 完整 性 (integrity) : 防止 未 经 授权 的 信息 被 自 改 。 

e 可 用 性 (availability) : 防止 未 经 授权 的 信息 或 资源 被 截留 。 

读者 可 以 立即 就 这 些 话题 的 优先 顺序 展开 讨论 ， 并 且 给 出 一 个 重新 排序 的 例子 。 或 者 读者 
可 以 论证 说 这 个 列表 不 完整 一 一 因为 列表 永远 不 会 完整 一 并 再 增加 一 些 内 容 ， 比 如 读者 关心 
通信 ， 可 以 增加 真实 性 (authenticity) ; 若 对 电子 商务 类 应 用 感 兴趣 ， 则 可 以 增加 问 责 性 (account- 
ability ) 和 不 可 否认 性 (nonrepudiation ) 。 

即使 在 这 一 般 的 层次 上 ， 仍 会 发 现 对 于 某 些 安全 方面 的 精确 定义 有 不 同意 见 。 因 此 ， 通 常会 
给 出 定义 的 出 处 ， 这 样 定义 的 背景 就 比较 清楚 了 。 我 们 将 选择 一 些 对 于 计算 机 安全 发 展 非常 重 
要 的 文档 , 像 US DoD Trusted Computer System Evaluation Criteria (WEB; 美国 国防 部 ，1987 ) ， 
European Information Technology Security Evaluation Criteria (ITSEC: 欧洲 共同 体委 员 会 ， 
1991) 一 一 第 10 章 了 包含 了 以 上 两 部 分 内 容 ， 还 有 International Standard ISO 7498-2 ( 国际 标准 化 
组 织 ，1989) ， 针 对 通信 安全 的 ISO/OSI 安全 体系 结构 (现在 已 被 ISO 10181 取代 ， 但 是 仍然 非常 
具有 影响 力 ) 。 上 面 的 定义 就 出 自 ITSEC。 


2.1.3 机 密 性 
历史 上 ， 安 全 和 保密 是 紧密 联系 在 一 起 的 。 即 使 在 今天 ， 许 多 人 仍然 觉得 计算 机 安全 的 主要 
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目的 是 阻止 未 授权 的 用 户 阅 读 敏 感 信息 。 通 俗 地 说 ， 未 授权 用 户 不 应 该 获悉 (leam ) 敏感 信息 。 
机 密 性 ( 隐私、 秘密 ) 就 是 要 解决 计算 机 安全 这 一 方面 的 问题 。 术 语 “ BB 44” ( privacy ) 和 "秘密 ” 
( secrecy) 有 时 候 被 用 来 区 分 个 人 数据 的 保护 (隐私 ) 和 机 构 数据 的 保护 (秘密 )。 机 密 性 概念 已 经 
被 很 好 地 定义 了 ， 并 且 计 算 机 安全 中 的 研究 通常 集中 在 这 个 题目 上 ， 因 为 最 起 码 它 提出 了 与 物 
理 安全 不 相 类 似 的 新 间 题 。 有 时 候 ， 安 全 性 (security ) 和 机 密 性 甚至 被 用 做 同义词 。 

一 旦 研究 深入 机 密 性 时 ， 将 会 面 对 这 样 一 个 问题 ， 即 对 未 授权 用 户 隐藏 文档 内 容 还 是 干脆 将 存 
在 这 一 事实 隐藏 起 来 。 为 了 了 解 采取 这 一 额外 步骤 的 原因 ， 可 考虑 在 通信 系统 中 的 流量 分 析 。 对 方 
仅 查 看 到 谁 在 什么 时 间 与 谁 连接 ， 而 不 查看 传送 的 信息 内 容 。 即 使 如 此 ， 观 察 者 从 通信 双方 的 关系 
中 仍然 可 以 得 到 有 用 的 信息 。 在 流量 分 析 中 ， 可 能 需要 某 些 事件 的 不 可 连接 性 (unlinkability) 。 如 果 
想 要 隐藏 谁 在 从 事 某 个 活动 ， 可 以 要 求 一 定 的 权限 ， 比 如 匿名 (anonymity ) 权 限 。 

在 纸 质 文档 的 世界 中 ， 控 制 对 文档 的 访问 很 简单 ， 只 要 列 出 那些 允许 阅读 这 个 文档 的 人 就 
可 以 了 。 不同 的 是 ， 计 算 机 安全 为 实现 机 密 性 必须 控制 写 操作 ， 读 者 在 8. 2 节 将 了 解 更 多 有 关 这 
方面 的 内 容 。 


2.1.4 完整 性 


很 难 给 出 一 个 简洁 的 完整 性 定义 。 一 般 来 说 ， 完 整 性 是 要 确保 每 个 事物 保持 它 该 有 的 状态 
(很 抱歉 给 出 这 样 一 个 毫 无 帮助 但 却 反映 了 现实 的 定义 ) 。 在 计算 机 安全 的 范围 内 ， 我 们 可 能 会 
满足 于 2. 1. 2 节 中 引用 的 一 个 定义 ， 即 完整 性 研究 如 何 预 防 未 授权 的 写 操作 。 当 这 种 解释 和 信息 
流程 策略 (参见 第 9 章 ) 一 起 使 用 时 ， 完 整 性 是 双重 机 密 性 ， 我 们 可 以 期 望 用 类 似 的 技术 同时 达 
到 两 个 目的 。 

然而 ， 更 进一步 的 问题 像 被 授权 做 某 人 做 的 事 " 和 “遵循 正确 的 程序 "也 已 经 被 包含 在 完整 
性 的 定义 中 。Clark and Wilson(1987) 在 他 们 的 颇 有 影响 力 的 论文 中 采用 了 这 个 方法 ， 该 论文 声 
称 完整 性 就 是 这 样 一 种 属性 : 

系统 中 的 任何 用 户 ， 即 使 被 授权 ， 也 不 友 许 以 一 种 会 使 得 公司 的 资产 或 账目 记录 丢失 

或 被 破坏 的 方式 来 修改 数据 项 。 


如 果 将 完整 性 与 预防 所 有 未 授权 的 行为 等 同 起 来 ， 那 么 机 密 性 就 成 为 了 完整 性 的 一 部 分 。 

迄今 为 止 ， 我们 都 是 通过 阐明 用 户 必须 控制 的 行为 来 获得 安全 性 。 而 在 定义 完整 性 时 ， 从 系 
统 的 观点 来 看 最 好 把 注意 力 集中 在 系统 状态 上 。 橘 皮 书 (美国 国防 部 ，1985 ) 中 关于 数据 完整 性 
的 定义 正 是 这 种 类 型 的 。 


数据 完整 性 ( data integrity) ” 当 计 算 机 处 理 的 数据 与 源 文件 中 的 数据 一 样 且 没有 受到 意 
外 的 或 恶意 的 修改 或 破坏 时 所 呈现 的 状态 。 


在 这 里 ， 完 整 性 是 外 部 一 致 性 (exteral consistency) 的 同义词 ， 存 储 在 计算 机 系统 中 的 数据 应 
当 正 确 地 反映 计算 机 系统 外 的 某 些 事实 ， 这 当然 是 非常 理想 的 情况 ， 然 而 ， 仅 靠 计算 机 系统 内 部 . 
的 机 制 来 保证 这 个 特性 是 不 可 能 的 。 

更 为 混乱 的 是 ， 信 息 安全 的 其 他 领域 有 它们 自己 的 完整 性 的 概念 。 比 如 ， 在 通信 安全 中 ， 完 
整 性 是 指 : 对 因 著 意 (intentional) 操 作 或 随机 的 传输 错误 而 引起 的 传输 数据 的 修改 、 插 人 、 删 除 
或 重 放 而 进行 的 检测 (detection) 和 纠正 (correction)。 当 没有 人 被 授权 进行 修改 时 ， 可 以 把 蓄意 的 
修改 看 作 是 未 授权 修改 的 一 种 特殊 情形 。 但 是 ， 采 取 这 种 观点 并 没有 多 大 帮助 。 因 为 授权 体系 的 
有 或 无 对 于 需要 解决 的 问题 的 本 质 以 及 相应 的 安全 机 制 都 有 影响 。 

完整 性 通常 是 其 他 安全 属性 的 先决 条 件 。 比 如 ， 攻 击 者 可 能 试图 通过 修改 操作 系统 或 操作 
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系统 引用 的 访问 控制 列表 来 挫败 机 密 性 控制 。 因 此 ， 我 们 必须 通过 保护 操作 系统 的 完整 性 或 者 
访问 控制 列表 的 完整 性 来 实现 机 密 性 。 

最 后 ， 应 当 注意 的 是 还 有 更 常见 的 完整 性 定义 ， 它 们 把 安全 性 和 可 用 性 都 当 作 是 完整 性 的 
一 部 分 。 


2.1.5 可 用 性 
ISO 7498-2( 国际 标准 化 组 织 ，1989) 中 给 出 的 定义 如 下 : 
可 用 性 (availability) 需要 时 可 被 一 个 授权 实体 访问 和 使 用 的 属性 。 


可 用 性 是 超出 传统 计算 机 安全 范围 的 一 个 非常 令 人 关注 的 问题 ， 用 于 改善 可 用 性 的 工程 技 
术 通 常 来 自 于 其 他 领域 ， 例 如 容错 计算 。 在 安全 领域 ,希望 保证 的 是 ， 恶 意 的 攻击 者 不 能 阻止 合 
法 用 户 合法 访问 他 们 的 系统 ， 也 就 是 说 ， 希 望 阻止 拒绝 服务 攻击 (denial of service)。 对 此 ， 再 次 
引用 ISO 7498-2 中 的 定义 : 


拒绝 服务 攻击 (denial of service) ”阻止 对 资源 的 授权 访问 或 者 推迟 时 间 关 键 的 操作 。 


近来 ， 因 特 网 上 已 经 出 现 了 洪 泛 攻击 (flooding attack) 事 件 ， 攻 击 者 用 大 量 的 连接 请 求 攻击 
服务 器 ， 致 使 服务 器 瘫 疾 。 图 2-1 讲述 其 中 的 第 一 式 拒绝 
服务 攻击 (Smurf 攻击 ) 。 攻击 者 以 假冒 的 发 件 人 地 址 ( 受 
害 者 的 地 址 ) 发 送 一 个 ICMP 的 回应 请 求 到 一 些 网 络 的 广 
播 地 址 。 回 应 请 求 将 分 发 到 所 有 的 网 络 节点 中 。 每 个 节点 
均 会 对 假冒 的 发 件 人 地 址 进行 回复 , 从 而 使 受害 者 被 回复 
包 淹 没 。 这 种 广播 地 址 提供 的 扩大 攻击 对 攻击 者 相当 
有 利 。 

在 许多 情形 下 ， 可 用 性 都 可 能 是 对 计算 机 安全 最 重要 
的 特性 ， 但 处 理 这 类 问题 的 安全 机 制 却 是 特别 匮乏 。 事 实 上 ， 限 制 太 多 的 或 太 昂贵 的 安全 机 制 本 
身 就 可 能 导致 拒绝 服务 。 安 全 协议 的 设计 者 现在 通常 会 尝试 避免 负载 的 不 平衡 ， 因 为 这 种 不 平 
衡 常常 会 允许 恶意 一 方 以 自身 较 小 代价 超载 通信 。 


2.1.6 问 责 性 


现在 已 经 讨论 了 计算 机 的 安全 的 三 个 传统 领域 ， 回 想 一 下 ， 可 以 看 到 它们 都 研究 了 访问 控 
制 的 不 同方 面 ， 并 且 把 重点 放 在 了 预防 (prevention) 令 人 讨厌 的 事件 上 面 。 必 须 接 受 这 样 的 事实 ， 
即 几乎 从 来 都 无 法 防止 所 有 不 正确 的 行为 。 首 先 ， 可 能 会 发 现 授 权 行 为 可 以 导致 不 安全 ; HK, 
可 能 会 在 我 们 的 安全 系统 中 发 现 一 个 缺陷 ， 使 得 攻击 者 可 以 绕 过 控制 。 因 此 ， 需 要 在 安全 列表 中 
加 入 新 的 安全 要 求 : 用 户 应 当 为 自己 的 行为 负责 。 这 个 要 求 在 刚 出 现 的 电子 商务 世界 中 尤其 重 
要 ， 已 收入 类 似 橘 皮 书 这 样 的 历史 性 文档 中 : 

问 责 性 (accountability) ”审计 信息 必须 有 选择 地 保存 和 保护 ， 以 便 影响 安全 的 行为 可 以 

被 追溯 到 责任 方 。 

为 了 做 到 这 一 点 ， 系 统 必须 识别 (identify) 和 认证 (authenticate ) 用 户 ， 必 须 保 存 一 份 安 全 相 
关 事件 的 审计 记录 ， 如 果 发 生 了 违背 安全 事件 ， 审 计 记 录 的 信息 可 以 帮助 确认 作恶 者 ， 以 及 针对 
作恶 者 损害 系统 所 采取 的 步骤 。 








图 2-1 拒绝 服务 攻击 (smurf) 
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2.1.7 不 可 否认 性 


不 可 否认 服务 能 对 发 生 的 具体 行为 提供 不 可 欺骗 的 证 据 (unforgeable evidence) 。 在 分 析 加 密 
机 制 提供 的 安全 服务 时 ， 这 种 定义 相当 有 意义 。 数 字 签 名 (digital signature; 参见 11.4 节 ) 提 供 了 
不 可 否认 性 ， 其 实 就 是 一 些 能 被 第 三 方 证 实 的 证 所 。 通 信安 全 中 典型 的 不 可 否认 服务 有 两 种 : 发 
送 方 不 可 否认 (nonrepudiation of origin) 和 递送 方 不 可 否认 (nonrepudiation of delivery )2。 发 送 方 
不 可 否认 提供 了 关于 文档 发 送 者 的 证 据 ， 递 送 方 不 可 否认 提供 了 关于 消息 被 发 送 给 具体 的 接收 
者 的 证 据 。 

由 于 不 精确 的 语言 问题 ， 对 不 可 否认 服务 的 讨论 从 来 就 未 曾 中 汤 过 。 当 邮件 被 发 送 到 邮箱 时 是 
否 应 该 谈论 接收 方 不 可 和 否认 呢 ? 甚至 还 有 更 多 的 关于 不 可 否认 服务 的 常识 性 误解 。 有 时 候 ， 人 们 称 
不 可 否认 服务 为 一 些 事件 提供 了 ”确凿 的 证 据 "， 这 些 证 据 可 以 “被 地 界 上 的 任何 一 个 法 庭 接受 ”。 
认为 数学 证 据 能 够 使 某 个 人 不 得 不 承认 卷 人 了 一 件 有 争议 的 事件 中 的 想法 是 相当 天 真 的 。 确 评 的 证 
据 这 样 的 概念 与 很 多 法 律 系统 都 格格 不 人 。 我 们 会 在 12. 5.6 节 中 简要 地 探讨 这 个 话题 。 


2.1.8 可 靠 性 


在 进行 安全 性 讨论 时 ， 还 必须 提 及 计算 的 其 他 领域 ， 像 可 靠 性 (涉及 “意外 ”故障 ) 和 安全 性 
(safety， 涉 及 系统 故障 对 环境 的 影响 ， 也 涉及 到 系统 在 不 利 条 件 下 必须 正确 运转 的 情形 ) 。 提 及 
这 些 领 域 的 首要 原因 是 概念 上 重 蕉 ， 依 你 的 观点 而 定 ， 安 全 性 可 以 是 可 靠 性 的 一 个 方面 ， 或 者 反 
ZIR. IFIP WG 10.4 试图 避免 这 种 进退 两 难 的 处 境 ， 它 引入 可 信任 性 作为 一 个 统一 的 概念 ， 
并 将 安全 性 、 可 靠 性 、 完 整 性 和 可 用 性 当 作 可 信任 性 的 几 个 方面 。 

可 信任 性 (dependability ) 计 算 机 系统 的 一 种 能 使 系统 提供 服务 有 理由 地 被 信任 的 特性 。 

这 里 提 及 的 系统 提供 的 服务 就 是 它 的 行为 ， 用 户 是 与 系统 交互 的 另 一 个 系统 (人 类 ) 。 


原因 之 二 是 有 些 应 用 必须 同时 解决 多 个 问题 。 假 设 有 一 个 处 于 安全 应 急 应 用 中 的 计算 机 系 
统 ， 在 一 些 突 发 事件 中 ， 该 系统 用 户 必 须 对 紧急 事件 做 出 反应 。 安 全 控制 则 应 当 阻止 人 侵 者 制造 
恶意 事故 ， 并 通过 搜寻 陌生 的 行为 模式 来 识别 人 侵 。 对 紧急 事件 的 反应 有 时 很 陌生 一 一 但 愿 紧 
急事 件 很 少 发 生 ， 因 此 人 侵 检测 可 能 会 将 紧急 情况 下 的 合法 行为 误解 为 攻击 ， 并 启动 安全 机 制 ， 
这 可 能 会 把 问题 搞 糟 ， 因 为 安全 机 制 会 干扰 应 急 人 员 的 行为 。 一 般 来 说 ， 你 不 能 孤立 地 追求 安全 
而 不 考虑 你 想 要 保护 的 应 用 的 其 他 要 求 。 

最 后 是 因为 应 用 于 这 两 个 领域 的 工程 方法 是 类 似 的 ， 比 如 ,评价 安全 软件 的 标准 和 评价 安 
全 应 急 软 件 的 标准 有 许多 相似 之 外 ， 有 些 安全 专家 希望 最 终 将 只 有 一 个 标准 。 


2.1.9 计算 机 安全 定义 
在 本 书 中 ,我 们 将 采用 以 下 的 计算 机 安全 定义 : 
计算 机 安全 ( Computer Security) ”研究 如 何 预 防 和 检测 计算 机 系统 用 户 的 非 授 权 行为 。 


在 该 定义 中 ， 正 确 授权 和 访问 控制 这 两 个 概念 是 计算 机 安全 的 基本 组 成 要 素 。 正 确 授权 假 
设 存在 一 个 安全 策略 (secuiity policy) 一 一 在 1.3.1 节 中 已 解释 过 。 我 们 可 以 将 纠正 不 正确 行为 的 
影响 包括 到 安全 定义 中 ,但 这 个 方面 对 于 进一步 的 讨论 作用 不 大 。 





O 除了 以 上 提 到 的 两 种 典型 的 不 可 否认 服务 ， 还 有 一 种 常见 的 不 可 否认 服务 一 一 接收 方 不 可 否认 (nonrepudration of 


receipt) 。 
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此 定义 描述 了 我 们 在 计算 机 安全 方面 所 能 做 的 工作 。 当 回顾 我 们 为 什么 要 维护 计算 机 安全 
的 最 根本 原因 时 ， 我 们 可 以 采用 这 样 一 个 定义 : 


计算 机 安全 与 我 们 采取 的 用 来 处 理 某 些 不 受 欢迎 的 人 的 蓄意 行为 的 措施 有 关 的 一 切 。 


这 个 定义 并 没有 提 及 未 授权 行为 ， 也 没有 涉及 攻击 。 但 是 使 得 计算 机 安全 的 界限 更 宽 ， 甚 至 
包括 了 像 垃圾 邮件 这 样 的 问题 。 自 主 发 送 的 邮件 不 一 定 就 是 攻击 。( 如 果 你 正在 找 工作 ， 你 可 能 
会 把 你 的 CV 发 给 一 些 可 能 会 觉得 你 的 技能 很 有 用 的 公司 ， 即 使 没有 空缺 ) 相似 的 ， 接 收 一 封 自 
主 发 送 的 邮件 也 不 一 定 是 一 件 不 受 欢迎 的 事情 。 这 会 根据 一 个 人 每 天 收 到 的 邮件 的 数量 和 本 质 
而 改变 。 当 邮件 的 滥用 变 得 很 讨厌 时 ， 反 垃圾 邮件 就 成 为 了 一 个 安全 问题 。 

经 验 教训 

对 术语 的 初步 讨论 得 出 的 主要 结论 如 下 : 

(1) 不 存在 单一 的 安全 定义 。 | 

(2) 当 你 阅读 文档 时 ， 注 意 不 要 将 你 自己 的 安全 概念 与 文档 中 使 用 的 概念 相 混淆。 

. (3) 大 量 的 时 间 都 花费 (和 浪费 ) 在 试图 定义 明确 的 安全 概念 上 。 


2.2 计算 机 安全 进退 两 难 的 困境 


随 着 依赖 计算 机 安全 的 用 户 数量 从 处 理 机 密 数 据 的 少数 公司 发 展 到 与 因特网 相连 的 每 个 人 ， 
人 们 对 计算 机 安全 的 需求 已 经 发 生 了 巨大 的 变化 。 至 少 ， 这 种 变化 已 经 导致 了 一 种 基本 的 进退 
两 难 困境 的 出 现 : 

不 懂 安 全 的 用 户 有 特殊 的 安全 需求 ， 却 常常 不 具备 安全 的 专门 知识 。 


这 种 两 难处 境 在 当前 的 安全 评估 (security evaluation) 策略 中 显而易见 。 通 俗 地 说 ， 安 全 评估 
会 检查 产品 是 否 提供 了 它 所 承诺 的 服务 。 因 此 ， 必 须 规定 安全 系统 的 功能 ， 而 且 我 们 也 需要 确保 
安全 控制 是 有 效 的 ， 并 且 能 够 抵抗 渗透 性 企图 。 

郴 皮 书 (美国 国防 部 ，1985) 是 第 一 本 评估 计算 机 安全 产品 (操作 系统 中 ) 的 指南 ， 在 计算 机 
安全 的 发 展 中 有 着 巨大 的 影响 力 。 在 橘 皮 书 中 ， 功 能 性 和 承诺 被 捆绑 成 预定 义 的 类 别 ， 用 户 只 能 
从 这 个 固定 的 类 别 集中 选择 。 但 是 橘 皮 书 相当 死板 ， 并 且 在 解决 计算 机 网 络 和 数据 库 管理 系统 
的 安全 评估 方面 还 不 是 非常 成 功 。 因 些 迫 切 要 求 有 一 套 更 灵活 的 标准 集 。 

ITSEC 适应 了 这 种 需要 ， 它 将 功能 性 和 承诺 区 分 开 ， 以 便 规范 特定 的 评估 目标 (Target of 
Evaluaiton, TOE) 。 不 懂 安 全 的 用 户 现在 只 需 和 弄 清楚 特定 的 TOE， 并 比较 根据 不 同 TOE 评估 的 产 
品 即 可 。 

计算 机 安全 的 这 个 两 难处 境 会 以 不 同 的 形式 出 现 ， 解 决 它 是 目前 计算 机 安全 中 最 为 紧迫 的 
挑战 。 毋 庸 置疑， 解决 的 方式 不 会 简单。 

同 这 个 基本 的 两 难 困境 形成 对 照 ， 安 全 与 易 用 之 间 的 冲突 则 采用 了 工程 中 简单 明了 的 折 中 
方法 。 安 全 对 性 能 的 影响 是 多 方面 的 。 

。 安 全 机 制 需要 额外 的 计算 机 资源 ， 这 个 代价 容易 被 量化 。 

。 安 全 会 干扰 用 户 熟悉 的 工作 模式 ， 繁 琐 或 不 合适 的 安全 限制 会 导致 生产 力 的 浪费 。 

。 必 须 花 费 精力 去 管理 安全 ， 因 此 安全 系统 的 购买 者 经 常 选择 具有 最 好 的 图 形 用 户 界面 的 产品 。 


2.3 数据 与 信息 


计算 机 安全 是 关于 对 信息 和 资源 的 访问 控制 。 然 而 ， 控 制 对 信息 的 访问 有 时 是 很 难 的 ， 因 此 
常常 用 更 加 直接 了 当 的 目标 ， 即 控制 对 数据 的 访问 来 代替 。 数 据 和 信息 之 间 的 区 别 很 微妙 ， 但 它 
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也 是 计算 机 安全 中 某 些 更 加 困难 的 问题 的 根源 。 
数据 代表 了 信息 ， 信 息 是 数据 的 ( 主观 ) 解 释 。 


数据 依照 约定 所 选择 的 用 来 表现 我 们 的 概念 和 真实 世界 中 某 些 方面 的 物理 现象 。 我 们 
赋予 数据 的 含义 为 信息 。 数 据 用 来 传输 和 存储 信息 ， 以 及 依照 形式 规则 处 理 数据 之 后 
获取 新 的 信息 (Brinch Hansen, 1973) , 


当 信 息 和 相应 原 数据 之 间 存 在 紧密 联系 时 ， 这 两 种 概念 可 能 会 产生 非常 相似 的 结果 。 但 事 
情 并 不 总 是 这 样 的 。 将 信息 通过 一 个 隐藏 信道 (covert channel, 参见 8.2.5 节 ) 传 输 是 可 能 的 。 在 
这 里 ， 数 据 是 对 访问 请 求 的 “是 ”或 “ 否 ” 的 回答 ， 而 收 到 的 信息 却 是 一 个 敏感 文件 的 内 容 。 另 一 
个 例子 是 统计 数据 库 的 推断 (inference ) 问题 (参见 17.4 节 ) 。 我 们 扼要 地 看 一 下 这 个 问题 ， 考 虑 
一 下 国内 税务 局 的 税收 数据 库 。 这 个 数据 库 不 仅 被 税务 稽查 员 使 用 (他 们 有 权 访 问 个 人 记录 ) , 
也 被 财政 部 官员 使 用 以 便 进 行 总 体 规划 。 财 政 部 官员 必须 能 够 访问 税收 的 统计 概要 ， 但 是 没有 
权利 访问 个 人 记录 。 假 定数 据 库 管 理 系 统 仅 允许 对 足够 大 的 数据 集 进行 统计 查询 以 保护 个 人 数 
EER, 但 是 仍然 可 能 对 两 个 仅 相 差 一 条 记录 的 足够 大 的 数据 集 进行 统计 查询 ， 以 将 查询 结果 
结合 起 来 。 这 样 ， 即 使 没有 对 数据 进行 直接 访问 ， 仍 然 可 以 获得 关于 某 个 人 记录 的 信息 。 


2.4 计算 机 安全 原则 


你 可 能 会 听 到 这 样 一 些 声明 ， 宣 称 计算 机 安全 是 一 个 非常 复杂 的 问题 ,“ 像 火箭 科学 ”。 你 
千 万 不 要 被 这 样 的 看 法 吓 倒 。 如 果 你 有 机 会 用 系统 化 的 方法 去 实现 一 个 计算 机 系统 的 安全 特性 ， 
那么 一 套 行 之 有 效 的 软件 (系统 ) 开 发 方法 以 及 对 一 些 基本 的 安全 原则 的 良好 理解 ， 将 使 你 会 达 
到 事半功倍 的 效果 。 然 而 ， 如 果 你 事后 才 想起 来 要 在 一 个 已 经 非常 复杂 的 系统 上 再 加 上 安全 特 
性 ， 那 么 当 你 被 该 系统 已 经 采取 的 各 种 并 未 考虑 安全 要 求 的 设计 决策 所 限制 时 ， 你 就 举步维艰 
了 。 遗 憾 的 是 ， 后 面 的 情形 经 常 发 生 。 

现在 我 们 要 提出 一 些 基 本 的 计算 机 安全 设计 要 素 ， 这 些 设计 决定 提供 了 编排 本 书 内 容 的 杠 
架 。 图 2-2 说 明了 计算 机 安全 设计 空间 中 的 主要 维度 ， 横 轴 代 表 安 全 策略 的 重点 (参见 2.4.1 
节 ) ， 纵 轴 代 表 一 种 保护 机 制 被 实现 的 计算 机 系统 层次 (参见 242 节 )。 


应 用 软件 








图 2-2 计算 机 安全 的 维度 


2.4.1 控制 重点 


现在 将 重新 描述 2.1.4 节 中 给 出 的 完整 性 定义 。 可 以 说 ， 完 整 性 必须 符合 一 组 既定 的 规则 。 
规则 涉及 如 下 玫 个 方面 。 

e 数据 项 的 格式 和 内 容 。 比 如 ， 一 条 规则 可 以 规定 账目 数据 库 中 的 余额 字段 必须 包含 一 个 整数 。 

这 个 规则 定义 了 内 部 一 致 性 ， 并 且 不 依赖 于 访问 数据 项 的 用 户 或 者 作用 在 数据 项 上 的 操作 。 
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。 可 能 作用 在 一 个 数据 项 上 的 操作 。 比 如 ， 一 条 规则 可 以 规定 只 有 “开户 ”、“ 查 余额 "、“ 取 
款 " 和 "存款 "操作 可 以 访问 账目 数据 库 中 的 余额 字段 ， 并 且 只 有 银行 工作 人 员 人 允许 执行 
“开户 "操作 。 这 样 的 规则 可 能 依赖 于 用 户 和 数据 项 。 

。 允许 访问 一 个 数据 项 的 用 户 。 比 如 ， 一 条 规则 规定 只 有 账户 的 持 有 者 和 银行 工作 人 员 可 
以 访问 账目 数据 库 中 的 余额 字段 。 

我 们 已 经 进行 了 一 项 重要 的 总 体 评述 ， 得 出 了 第 一 个 设计 原则 。 

第 1 个 设计 决策 在 一 个 给 定 的 应 用 中 ， 一 个 计算 机 系统 中 的 保护 机 制 应 该 集中 在 数 

据 、 操 作 还 是 用 户 上 ? 


在 应 用 安全 控制 时 ， 这 个 选择 是 一 个 基本 的 设计 决策 。 操 作 系统 传统 上 集中 在 保护 数据 ( 资 
源 ) 方 面 ， 而 在 现代 应 用 于 中 则 更 多 地 与 控制 用 户 的 行为 有 关 。 


2. 4.2 人 一 机 标尺 


图 2-3 给 出 了 计算 机 系统 的 简单 分 层 模型 。 这 个 模型 只 准备 用 
作 一 般 性 的 指导 ,计算 机 系统 中 不 一 定 完 全 包括 所 有 模型 中 的 层次 ， 

















也 可 能 多 于 模型 中 给 出 的 五 个 层次 。 
。 用 户 运行 应 用 程序 (application program) ， 这 些 应 用 程序 都 满 
足 非常 明确 的 需求 。 
。 应 用 程序 可 以 使 用 像 数据 库 管 理 系统 (DBMS ) 或 对 象 引 用 代 
理 (ORB ) 这 样 的 通用 软件 包 提供 的 服务 (service) o 图 2-3 IT 系统 中 的 层次 
。 这 些 服务 运行 在 操作 系统 (operating system) 之 上 ， 操 作 系统 执行 文件 和 存储 器 管理 ， 并 控 
制 对 打印 机 和 1/O 设备 等 资源 的 访问 。 


© 操作 系统 可 能 有 一 个 协调 对 处 理 器 和 存储 器 访问 的 内 核 (kernel) 。 

o 硬件 (hardware) ， 即 处 理 器 和 内 存 ， 物 理 的 存储 和 处 理 计 算 机 系统 中 的 数据 。 
安全 控制 可 以 被 合理 地 放置 于 任何 一 个 层次 上 ， 我 们 现在 已 经 解释 了 第 二 个 基本 安全 原 
则 的 各 个 方面 。 

第 2 个 设计 决策 一 个 安全 机 制 应 该 被 放置 在 计算 机 系统 的 哪 一 个 层次 上 ? 

研究 已 有 的 安全 产品 时 ， 可 观察 到 这 个 模型 中 从 硬件 到 应 用 软件 每 一 层 上 的 安全 机 制 。 设 
计 者 的 任务 是 为 每 一 个 机 制 寻 找 合适 的 层次 ， 以 及 为 每 一 个 层次 寻找 合适 的 机 制 。 

再 来 看 一 下 新 的 设计 决策 ， 将 一 个 计算 机 系统 的 安全 机 制 想像 成 一 些 同心 的 保护 环 ， 其 中 
硬件 机 制 位 于 中 心 ， 应 用 机 制 位 于 外 围 ( 图 2-4) 。 靠 近 中 心 的 机 制 趋向 于 更 通用 、 更 面向 计算 机 
和 更 关注 对 数据 的 控制 访问 ， 外 围 的 机 制 则 更 适合 解决 个 别 的 用 户 需求 。 结 合 前 两 个 安全 决策 ， 
将 参照 人 一 机 标尺 (man- machine scale) 来 放置 安全 机 制 (图 2-5)。 该 标尺 与 数据 (面向 机 器 ) 和信 
息 ( 面 向 人 之 间 的 差异 相关 ) 。 


应 用 程序 
服务 











对 用 户 对 数据 
特定 的 通用 的 
复杂 的 关注 简单 的 关注 


面向 人 面向 机 器 
图 2-4 保护 机 制 切面 模型 图 2-5 用 于 访问 控制 机 制 的 人 一 机 标尺 
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2.4.3 ”复杂 性 与 保证 性 


安全 机 制 在 人 一 机 标尺 上 的 位 置 常常 同 它 的 复杂 性 密切 相关 。 标 尺 的 右 侧 是 简单 的 通用 机 
制 ， 而 应 用 通常 则 要 求 富 有 特色 的 安全 功能 。 因 此 ， 还 必须 做 出 第 三 个 决策 。 


第 3 个 设计 决策 “与 富有 特色 的 安全 环境 相 比 ， 你 是 否 偏爱 简单 性 和 更 高 的 保险 性 ? 


这 个 决策 和 计算 机 安全 两 难 困 境 相关 。 一 个 简单 的 通用 机 制 无 法 满足 特殊 的 保护 需要 ， 但 
是 要 在 一 个 功能 丰富 的 安全 环境 中 做 出 适当 的 选择 ， 用 户 必须 成 为 安全 专家 。 因 而 ， 安 全 知识 缺 
乏 的 用 户 显 然 被 置 于 一 个 不 利 的 位 置 。 

为 了 获得 高 保证 性 ， 安 全 系统 必须 经 过 尽 可 能 彻底 的 详细 检查 ， 因 此 在 复杂 性 和 保证 性 之 
闻 必 然 有 一 个 折 圳 ， 你 想 要 的 保证 性 级 别 越 高 ， 你 的 系统 就 应 该 越 简单 。 因 此 ， 你 将 会 立即 注意 
到 以 下 原则 : 


富有 特色 的 安全 系统 和 高 保证 性 是 很 难 相 互 匹配 的 。 


不 难 理解 ， 高 保证 性 要 求 遵从 系统 化 的 设计 实践 。 事 实 上 ， 计 算 机 安全 是 较 早 以 形式 化 方法 
为 工具 来 寻求 最 高 保证 性 的 领域 之 一 。 


2.4.4 集中 控制 或 分 布控 制 


在 一 个 安全 策略 内 ， 应 该 实施 相同 的 控制 。 如 果 有 一 个 唯一 的 中 央 实 体 负责 安全 ， 那 么 很 容 
易 获 得 一 致 性 ， 但 是 这 个 中 央 实 体 可 能 成 为 性 能 瓶 席 。 反 过 来 ， 一 个 分 布 式 的 解决 方案 可 能 更 有 
效 ， 但 我 们 必须 格外 小 心 ， 以 保证 不 同 的 成 员 实施 一 致 的 策略 。 - 

第 4 个 设计 决策 定义 和 实施 安全 的 任务 是 应 该 交 给 一 个 中 央 实 体 ， 还 是 应 该 托付 给 系 

统 中 的 各 个 成 员 ? ad 

这 个 问题 出 现在 分 布 式 系统 安全 中 是 很 自然 的 ， 你 可 以 查看 这 两 种 方法 的 实例 。 但 是 ， 正 像 
Bell- LaPadula 模型 (参见 8.2 节 ) 中 强制 的 和 自主 的 安全 策略 所 论证 的 那样 ， 这 个 问题 放 在 大 型 
机 系统 的 环境 下 研究 也 很 有 意义 。 


2.5 FE 


到 此 ， 我 们 已 经 很 简要 地 谈论 了 保证 性 ， 其 中 主要 探讨 了 能 表达 最 恰当 的 安全 策略 的 选择 。 
现在 该 来 考虑 一 下 试图 绕 过 保护 机 制 的 攻击 者 了 。 每 个 保护 机 制 均 定义 了 一 个 安全 周 界 (边界 ) ， 
那些 失效 后 也 不 会 损害 保护 机 制 的 系统 部 分 位 于 周 界 的 外 部 ， 那 些 可 使 保护 机 制 失效 的 系统 部 
分 位 于 周 界 的 里 面 。 该 论断 可 导致 对 在 2.4. 2 节 提 出 的 第 2 个 设计 决策 的 直接 和 重要 的 扩展 。 
第 5 个 设计 决策 如 何 防 止 攻击 者 访问 位 于 保护 机 制 下 面 的 层 ? 
可 以 访问 “下 层 ” 的 攻击 者 处 于 能 够 摧毁 保 {Db 
护 机 制 的 有 利 位 置 。 比 如 ， 如 果 在 操作 系统 中 获 
得 了 系统 特权 ， 通 常 就 能 够 改变 那些 包含 有 服务 | 物理 和 机 构 保护 机 制 
层 和 应 用 层 中 安全 机 制 控制 数据 的 程序 或 文件 。 一 一 一 一 
如 果 对 物理 存储 设备 有 直接 的 访问 权限 ， 就 可 以 
绕 过 操作 系统 的 逻辑 访问 控制 而 直接 操作 原始 数 图 2-6 用 于 控制 下 层 访问 的 物理 的 、 
据 。 下 面 将 会 给 出 6 个 例子 来 进一步 说 明 这 一 机 构 的 安全 措施 
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点 。 安 全 机 制 有 易于 攻击 的 软肋 ， 并 易于 受到 来 自 下 层 的 攻击 ， 这 些 事实 表明 必须 关注 这 些 问 
题 ， 但 没有 必要 为 此 而 悲观 失望 。 即 使 在 到 达 一 个 无 法 运用 计算 机 安全 机 制 、 或 不 想 使 用 计算 机 
安全 机 制 的 阶段 时 ， 你 仍然 能 够 采取 物理 的 或 有 组 织 的 安全 措施 (图 2-6) 。 

1. 恢复 工具 

如 果 存 储 器 的 逻辑 组 织 由 于 某 物 理 的 存储 故障 而 损坏 ， 即 使 这 些 文件 的 物理 表示 仍然 是 完 
整 的 ， 也 无 法 访问 文件 。 恢 复工 具 ， 像 诺顿 实用 程序 (Norton Utility) 可 通过 直接 读 ( 物 理 ) 存 储 器 
来 帮助 恢复 数据 ， 进 而 恢复 文件 结构 。 这 样 的 工具 当然 也 可 以 用 来 绕 过 逻辑 访问 控制 ， 因 为 它 不 
关心 逻辑 内 存 结构 。 

2. Unix 设备 

Unix 将 VO 设备 和 物理 存储 设备 作为 文件 来 管理 ， 因 此 同样 的 访问 控制 机 制 也 可 用 于 这 些 
设备 ， 就 像 用 于 文件 一 样 。 如 果 访 问 许 可 定义 得 不 好 ， 比 如 将 读 访 问 权 授予 一 个 包含 读 保护 文件 
的 磁盘 ， 那 么 攻击 者 便 可 以 读 取 磁盘 内 容 ， 然 后 重建 文件 。 读 者 可 以 在 第 6 章 “ Unix 安全 ”中 找 
到 更 多 的 信息 。 

3. 对 象 重用 (释放 存储 器 ) 

在 一 个 单 处 理 器 多 道 程 序 设 计 系 统 中 ， 几 个 进程 可 以 被 同时 执行 ， 但 是 任何 时 候 ， 只 有 一 个 
进程 能 够 “占有 ”处 理 器 。 任 何 时 候 ， 当 操作 系统 挂 起 一 个 运行 着 的 进程 去 激活 下 一 个 进程 时 ， 
必须 执行 一 个 上 下 文 切 换 (context switch) ， 将 被 挂 起 的 进程 以 后 要 继续 执行 时 所 需 的 全 部 信息 保 
存 下 来 ， 并 创建 与 新 进程 相关 的 信息 。 出 于 安全 方面 的 考虑 ， 必 须 避 免 存储 残留 (storage resi- 
due) ， 即 在 分 配给 新 进程 的 存储 区 域 中 遗留 了 数据 ， 这 将 破坏 操作 系统 提供 的 进程 间 的 逻辑 独 
” 立 性 。 这 可 以 通过 一 个 固定 模式 在 所 有 已 被 释放 的 存储 位 置 重 写 或 者 只 允许 新 进程 对 它 已 经 写 
入 的 存储 位 置 进行 读 访 问 来 解决 。 

4, 缓冲 区 溢出 

在 一 个 缓冲 区 溢出 的 攻击 中 ， 赋 予 一 个 变量 的 值 相 对 于 分 配给 这 个 值 的 存储 缓冲 而 言 太 大 ， 
以 至 于 分 配给 其 他 变量 的 存储 位 置 被 重 写 。 这 个 用 于 修改 本 来 不 能 逻辑 访问 的 变量 的 方法 将 在 
14. 4. 1 节 中 进一步 解释 。 

5. 备份 

尽责 的 系统 管理 员 会 定期 地 进行 备份 。 谁 能 够 得 到 备份 磁带 ， 谁 就 能 够 访问 磁带 上 的 所 有 
数据 。 逻 辑 访问 控制 在 此 毫 无 帮助 ， 因 此 ， 备 份 磁 带 必须 被 安全 地 锁 起 来 以 保护 数据 。 

6. 内 核 转 储 

当 系 统 骨 溃 时 ， 它 会 创建 一 个 其 内 部 状态 的 内 核 转 储 (core dump) ， 这 样 可 便于 确定 崩溃 的 
原因 。 如 果 内 部 状态 包含 敏感 信息 ， 如 密 钥 ， 并 且 如 果 内 核 转 储存 放 在 一 个 任何 人 都 可 以 访问 的 
文件 中 ， 那 么 攻击 者 便 可 以 故意 使 一 个 多 用 户 系统 崩溃， 并 在 属于 其 他 用 户 的 数据 的 内 核 转 储 
HF BTR 


2.6 深层 阅读 

市 面 上 有 很 多 关于 计算 机 安全 的 书籍 。Russel and Gangemi Sr. (1991) 提供 了 对 该 学 科 的 一 个 
非常 通俗 易 懂 的 介绍 。4rmoroso(7994 ) 介 绍 了 计算 机 安全 的 理论 基础 。Gasser(7988 ) 详细 讨论 了 
设计 安全 操作 系统 的 技术 细节 ， 综 述 了 Gasser 在 20 世纪 80 年 代 建 立 安全 的 操作 系统 的 经 验 (在 
网 上 可 以 找到 ) Pfleeger and Lawrence Pfleeger( 2003) 对 信息 安全 进行 了 综述 性 的 介绍 ， 并 为 进 
一 步 阅 读 提供 了 许多 有 价值 的 指导 。 | 

介绍 专用 操作 系统 安全 特性 的 书 一 般 比 较 昂 贵 ， 而 且 大 多 关注 与 管理 这 类 系统 相关 的 问题 ， 
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如 要 调用 的 窗口 及 可 选择 的 选项 等 ， 对 安全 实现 的 方法 没有 太 多 深入 的 介绍 。Park( 1995 ) 关于 
AS/400 的 书 是 一 个 例外 ， 这 本 书 深 入 讨论 了 操作 系统 的 技术 细节 ， 并 且说 明了 较 低 层 的 代码 怎 
样 损害 操作 系统 提供 的 安全 。 此 外 ，Brown(2000) 也 出 版 过 关于 Windows 安全 的 书 。 关 于 Unix 
安全 较 好 的 书 有 Curry(1992), Ferbrache and Shearer( 1992) 以 及 Garfinkel, Spafford and Schwartz 
(2003) 的 著作 。 更 专门 的 话题 ， 可 以 在 相关 章节 的 后 面 找到 更 多 资源 。 

为 了 正确 认识 一 个 研究 领域 的 现状 ， 还 应 该 了 解 它 的 历史 。Wure(7979) 和 Anderson( 1972) 
曾 发 表 过 两 篇 很 有 影响 力 的 报告 ， 它 们 引发 了 计算 机 安全 领域 中 的 许多 研究 。 如 果 无 法 查阅 这 
两 篇 报告 ， 还 可 以 参看 MacKenzie and Pottinger( 1997) 提供 的 有 关 计 算 机 安全 早期 历史 的 总 结 


2.7 练习 


练习 2.1 收集 安全 概念 定义 。 可 以 从 美国 TCSEC 计划 和 英国 ITSEC 计划 开始 : 

http: //www. radiunm. ncsc. mil/tpep/process/fag. html 

http: //www. itsec. gov. uk 

许多 大 的 开 公司 在 自己 的 网 站 上 也 有 关于 安全 的 网 页 。 

练习 2.2 解释 不 可 连接 性 和 匿名 之 间 的 关系 。 

练习 2.3 写 一 篇 短文 讨论 数据 与 信息 之 间 的 区 别 ， 并 用 你 自己 的 例子 证 明 控制 对 数据 的 访 
问 并 不 一 定 意味 着 就 是 控制 对 信息 的 访问 。 

练习 2.4 医疗 记录 构成 了 特殊 的 安全 问题 。 假 设 可 以 在 线 访问 你 的 医疗 记录 。 一 方面 ， 这 
是 敏感 信息 ， 并 应 受到 保护 ， 防 止 泄露 。 另 一 方面 ， 在 紧急 情况 下 又 希望 任何 人 均 可 以 进入 你 的 
记录 。 你 会 如 何 使 用 预防 、 检 测 和 恢复 以 确保 你 的 记录 安全 ? 

练习 2.5 为 维护 存放 在 一 个 计算 机 系统 中 的 考试 结果 ， 草 拟 一 个 安全 策略 。 你 的 策略 至 少 
应 考虑 学 生 、 讲 师 和 行政 人 员 的 进入 需求 。 

练习 2.6 为 你 使 用 的 电脑 系统 确定 可 以 纳入 潜在 安全 机 制 的 软件 组 件 。 

练习 2.7 Rite: 是 一 个 良好 的 图 形 用 户 界面 还 是 一 个 适当 的 标准 ， 对 购买 安全 产品 更 为 
必需 ? 

练习 2.8 试 寻找 更 多 实例 : 已 经 进入 下 层 的 攻击 者 可 以 直接 绕 过 本 层 的 安全 机 制 。 

练习 2.9 在 分 析 个 人 计算 机 的 安全 性 时 可 能 会 用 到 安全 周 界 的 识别 。 在 你 的 分 析 中 ， 试 考 
虑 什么 时 候 合适 假定 存放 PC 机 的 房间 、PC 机 本 身 或 者 PC 机 内 的 一 些 安全 模块 都 位 于 安全 周 界 
的 范围 内 。 





第 3 章 身份 识别 与 认证 


安全 系统 有 时 必须 检查 请 求 服务 的 用 户 的 身份 。 认 证 就 是 验证 用 户 身 份 的 过 程 。 出 于 以 下 
两 个 原因 需要 验证 用 户 身 份 ; 

。 用 户 身份 是 访问 控制 决策 中 的 一 个 参数 。 

。 在 把 与 安全 相关 的 事件 记录 到 审计 日 志 时 ， 需 要 记录 用 户 身份 。 

第 15 章 将 解释 ， 为 什么 基于 用 户 身 份 的 访问 控制 并 不 总 是 必需 的 或 者 是 合适 的 。 然 而 ， 在 
审计 日 志 中 使 用 身份 却 有 非常 充分 的 理由 。 本 章 主 要 讲解 用 户 身份 识别 与 认证 ， 因 为 它 是 当前 
操作 系统 的 一 个 标准 。 分 布 式 操作 系统 的 认证 将 在 第 12 章 中 讨论 。 

目标 

© 回顾 一 种 极为 熟悉 的 认证 机 制 ， 以 此 来 了 解 一 些 一 般 性 的 经 验 。 

。 获得 口令 保护 的 基本 常识 。 

。 懂得 安全 机 制 有 赖 于 管理 措施 才能 有 效 实施 。 

。 理解 在 计算 机 安全 中 应 用 抽象 所 带 来 的 危险 。 


3.1 用 户 名 与 口令 


从 字面 意义 上 来 讲 ， 你 第 一 次 接触 计算 机 安全 是 从 你 登录 计算 机 并 且 被 要 求 输 入 你 的 用 户 
名 (username) 和 口令 (password) 的 时 候 开 始 的 。 第 一 步 称 为 身份 识别 (identification ) ， 即 声明 你 
是 谁 。 第 二 步 叫做 认证 (authentication) ， 即 证 明 你 就 是 所 声称 的 那个 人 。 为 了 将 “认证 ”这 个 词 
的 用 法 同 其 他 解释 区 分 开 来 ， 本 书 特别 指 : 

实体 认证 ”验证 一 个 被 声称 的 身份 的 过 程 。 

一 旦 你 输入 了 用 户 名 和 口令 ,计算 机 就 会 将 你 的 输入 同 存 储 在 口令 文件 中 的 对 应 条 目 进行 
比较 。 如 果 你 输入 了 有 效 的 用 户 名 和 和 对 应 的 口令 ， 则 登录 成 功 。 如 果 用 户 名 或 口令 不 正确 ， 则 登 
录 失 败 。 登 录 失 败 之 后 ， 通 常会 再 次 显示 登录 界面 ， 这 样 你 可 以 再 次 尝试 。 有 些 系统 会 保存 登录 
失败 次 数 ， 一 旦 登录 失败 次 数 到 达 了 某 个 靖 值 ， 系 统 就 会 阻止 或 延迟 当前 用 户 登 录 。 为 了 减 小 攻 
击 者 使 用 已 有 用 户 登 录 无 人 看 管 的 计算 机 的 可 能 性 ， 可 以 不 仅 在 会 话 开始 时 要 求 认 证 ， 也 可 以 
在 会 话 期 间 定 期 要 求 认证 (重复 认证 ) 。 你 也 可 以 选择 锁 住 (lock) 屏幕 ， 或 者 在 计算 机 长 时 间 处 
于 空闲 状态 时 自动 关闭 会 话 。 

经 验 教训 

反复 认证 解决 了 计算 机 安全 中 一 个 为 人 所 熟知 的 问题 ， 即 TOCTTOU( time of check to time of 
use) 。 操 作 系 统 在 会 话 开始 时 就 检查 用 户 身份 ， 但 是 在 后 期 会 话 过 程 中 一 直 使 用 这 个 身份 来 进行 
访问 控制 决策 。 

从 前 ， 你 可 能 在 这 样 的 登录 界面 上 输入 过 用 户 名 和 口令 。 这 个 界面 有 友好 的 欢迎 消息 以 及 
你 即将 登录 的 系统 的 相关 人 信息。 今天， 谨慎 的 系统 管理 者 不 会 让 太 多 的 消息 对 外 部 世界 可 见 ， 而 
且 把 欢迎 信息 替换 成 了 警告 : 未 经 授权 者 请 勿 使 用 。 比 如 说 ，Windows 提供 了 显示 法 律 公告 
(legal notice) 对 话 框 的 选项 。 在 登录 操作 进行 之 前 ， 用 户 必须 确认 这 些 警 告 信息 。 

今天 ， 大 多 数 的 计算 机 系统 都 将 基于 用 户 名 和 口令 的 身份 识别 和 认证 作为 它们 的 第 一 道 防 
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线 。 对 于 大 多 数 用 户 而 言 ， 这 种 机 制 已 经 成 为 他 们 在 自己 的 计算 机 上 启动 会 话 过 程 中 一 个 不 可 
或 缺 的 部 分 。 这 样 ， 我 们 就 有 了 一 个 被 广泛 接受 而 又 不 难 实现 的 机 制 。 在 另 一 个 方面 ， 管 理 口 令 
却 要 付出 极 大 的 代价 ， 而 且 得 到 一 个 有 效 的 口令 是 获取 对 计算 机 系统 未 授权 访问 的 常用 办 法 。 
因此 ， 让 我 们 来 分 析 一 下 作为 认证 机 制 的 口令 的 实际 安全 性 。 

我 们 将 要 探讨 以 下 问题 : 

e 遗忘 口令 。 

。 口令 猜测 。 

e 口令 欺骗 。 

© 口令 文件 泄漏 。 

不 要 忘 了 用 户 在 口令 保护 中 起 着 重要 的 作用 。 当 你 泄露 了 口令 ， 比 如 将 口令 告诉 别人 ， 或 者 
把 口令 记 下 来 放 在 别人 能 够 找到 的 地 方 ， 都 会 危及 到 认证 的 安全 。 为 了 提醒 用 户口 令 受 到 威胁 
或 者 最 近 受 到 的 攻击 ， 在 成 功 登 录 之 后 ， 系 统 应 能 够 显示 上 次 成 功 登 录 的 时 间 以 及 自 上 次 成 功 
登录 之 后 登录 失败 的 次 数 。 当 然 ， 我 们 自始至终 都 假设 已 经 为 用 户 账号 设置 了 口令 。 如 果 系 统管 
理 员 或 用 户 忘 记 了 设置 口令 ， 攻 击 者 将 会 省 去 找 口令 的 麻烦 。 


3.2 口令 管理 


口令 是 用 户 和 对 用 户 进行 认证 的 系统 之 间 共 享 的 秘密 。 因 此 ， 你 怎样 引导 系统 将 口令 存放 
到 正确 的 位 置 ， 而 不 是 其 他 某 个 地 方 呢 ? 在 企业 中 ， 可 以 将 用 户 叫 到 办 公 室 并 收集 他 们 各 自 的 口 
令 。 如 果 这 种 方法 不 可 行 ， 那 么 还 可 以 通过 信件 、 电 子 邮 件 或 者 电话 将 口令 告知 用 户 ， 或 者 直接 
由 用 户 通 过 网 页 输入 口令 。 现 在 ， 你 必须 考虑 谁 会 在 中 途 截取 消息 ， 最 重要 的 是 谁 会 利用 这 些 信 
息 。 比 如 ， 一 封包 含 在 线 银 行 账号 的 信件 会 被 窃取 ， 或 者 一 个 冒名 顶替 者 会 通过 电话 索取 另 一 个 
用 户 的 口令 。 当 远程 用 户 尚 未 获得 口令 的 时 候 ， 你 怎样 来 认证 用 户 呢 ? 这 就 需要 解决 以 下 问题 : 

。 不 要 将 口令 交 给 呼叫 者 ， 而 是 回 拨 在 你 文件 ( 比如 ， 公 司 内 部 电话 短 ) 中 经 过 授权 的 电话 

号 码 。 

。 回 拨 其 他 人 ， 比 如 呼叫 者 的 经 理 或 者 部 门 安全 长 官 。 

。 发 送 一 次 性 登录 口令 ， 这 样 用 户 就 必须 在 登录 之 后 将 口令 更 改 为 发 送 者 不 知道 的 口令 。 

。 通 过 邮差 专员 发 送 邮件 。 

。 通过 其 他 渠道 获取 确认 信息 从 而 激活 用 户 账号 ， 比 如 通过 网 页 输入 口令 并 通过 手机 短信 

发 送 确 认 信 息 。 

当 创 建 一 个 新 的 用 户 账号 时 ， 你 可 能 要 忍受 获取 口令 所 带 来 的 延迟 。 然 而 ， 当 你 正在 执行 一 
项 任务 并 且 意 识 到 自己 忘记 了 口令 时 ， 你 需要 立即 采取 补救 措施 。 重 新 设置 口令 的 过 程 跟 上 述 
过 程 极为 相似 。 但 是 ， 组 织 机 构 必 须 设置 一 个 热线 服务 台 来 随时 处 理 用 户 请 求 。 在 全 球 性 的 组 织 
机 构 中 ， 这 样 的 热线 服务 必须 是 全 天 候 的 。 从 事 这 项 服务 的 人 员 必 须 接受 一 定 的 安全 培训 。 因 
而 ， 口 令 支 持 可 能 成 为 主要 的 开销 因素 。 

经 验 教训 

安全 机 制 或 许 会 导致 无 法 为 合法 用 户 提供 服务 。 你 的 安全 方案 应 该 能 够 有 效 处 理 这 种 状况 。 


3.3 选择 口令 
口令 的 选择 是 一 个 至 关 重 要 的 安全 问题 。 尽 管 你 无 法 排除 攻击 者 猜测 出 有 效 口令 的 威胁 ， 


但 是 你 可 以 努力 使 这 种 事情 的 发 生 几 率 尽 可 能 的 低 。 要 想 知道 如 何 做 到 这 一 点 ， 你 必须 知道 到 
攻击 者 基本 上 遵循 的 以 下 两 种 猜测 策略 。 
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FRR BA): 在 一 定 长 度 范 围 内 ， 尝 试 有 效 符号 的 所 有 可 能 组 合 。 
。 智能 搜索 ;在 有 限 的 名 字 空 间 内 搜索 ， 比 如 ， 尝 试 那些 与 用 户 有 联系 的 口令 ， 像 名 字 、 骨 
友 或 亲友 的 名 字 、 汽 车 品牌 、 汽 车 注册 号 以 及 电话 号 码 等 。 或 者 ， 尝 试 那些 比较 流行 的 口 
令 。 这 种 攻击 方法 的 典型 就 是 字典 攻击 (dictionary attack) ， 利 用 在 线 词典 猜测 口令 。 
那么 ， 你 的 防卫 措施 是 什么 呢 ? 
e。 更 改 默认 口令 : 当 系 统 被 交付 使 用 时 ， 它 们 通常 会 提供 一 个 默认 账户 ， 比 如 具有 默认 口令 
“manager” 的 默认 账号 “system”。 这 种 办 法 有 助 于 领域 工程 师 安装 系统 ， 但 是 如 果 不 更 改 
默认 口令 的 话 ， 攻 击 者 就 会 很 容易 地 进入 系统 。 在 刚才 的 例子 中 ， 攻 击 者 甚至 能 获取 一 个 
具有 特权 级 的 账号 。 
OSKE: 为 了 防止 穷尽 搜索 ， 必 须 预 先 设 定 口 令 的 最 短 长 度 。 遗 憾 的 是 ， 长 久 以 来 
Unix 操作 系统 最 大 口令 长 度 只 能 设置 为 八 个 字符 。 
。 口令 格式 : 在 你 的 口令 中 尽 可 能 包括 大 小 写字 符 、 数 字 以 及 非 字 符 符 号 。 口 令 空间 的 最 小 
”尺寸 为 IA1"， 其 中 1 为 口令 的 最 小 长 度 ，1A1 为 用 于 创建 口令 的 字符 集 的 尺寸 。 
。 避免 显著 口令 : 当 你 发 现 攻 击 者 配备 有 一 系列 的 常用 口令 或 当 你 发 现 字 典 攻击 已 经 极 大 
地 扩展 了 “显著 ”口令 的 范围 时 ， 你 大 可 不 必 吃 惊 。 而 今 ， 你 可 以 找到 几乎 每 一 种 语言 的 
在 线 词典 。 i 
系统 怎样 才能 进一步 提高 口令 的 安全 性 呢 ? 
e 口令 检查 器 : 作为 系统 管理 员 ， 你 可 以 针对 某 些 “脆弱 ”口令 字典 使 用 口令 检测 工具 来 检 
查 口 令 ， 并 且 阻 止 用 户 选 择 这 类 弱 口 令 。 这 种 方法 效仿 了 字典 攻击 ， 并 且 先 于 针对 系统 的 
字典 攻击 。 
。 口令 生成 : 一 些 操作 系统 包含 了 口令 生成 器 。 这 些 口令 生成 器 能 够 生成 随机 的 ， 但 易于 推 
断 的 口令 。 用 户 不 允许 使 用 自己 的 口令 ， 而 必须 采用 系统 推荐 的 口令 。 
。 口令 老化 : 在 许多 操作 系统 中 ， 口 令 的 有 效 日 期 是 可 以 设置 的 ， 这 样 就 迫使 用 户 必须 定期 
修改 口令 。 有 些 附加 机 制 能 够 防止 用 户 选 择 以 前 使 用 过 的 口令 ， 比 如 ， 系 统 保存 了 最 近 使 
用 过 的 10 个 口令 。 当 然 ， 通 过 足够 多 次 地 修改 直至 以 前 的 只 令 可 以 被 系统 接受 ， 执 着 的 
用 户 仍 旧 可 以 使 用 他 们 最 喜爱 的 口令 。 
e。 限制 登录 尝试 : 系统 能 够 监控 不 成 功 的 登录 尝试 并 做 出 反应 ， 完 全 锁定 用 户 账号 ， 或 至 少 
锁定 一 段 时 间 ， 以 阻止 或 阻碍 进一步 的 登录 尝试 。 用 户 账号 被 锁定 的 时 间 可 以 随 着 登录 
失败 的 次 数 按 比 例 增长 。 
依照 刚才 所 说 的 ， 似 平 只 要 用 户 使 用 由 系统 产生 的 长 口令 、 口 令 中 混合 使 用 大 小 写字 母 和 
数字 符号 ， 并 定期 修改 口令 ， 即 可 以 达到 最 高 度 安 全 性 。 这 种 办 法 真 的 有 用 吗 ? 在 实际 中 ， 我 们 
获得 所 期 望 的 安全 性 了 取 ? 
用 户 难 以 记 住 元 长 而 且 复杂 的 口令 。 相 反 ， 用 户 会 把 这 类 口令 写 在 纸 上 ， 并 且 放 在 靠近 计算 
机 的 地 方 ， 而 这 些 地 方 最 便于 合法 用 户 和 潜在 的 人 侵 者 。 安 全 管理 员 必 须 厉行 的 公务 就 是 查找 
粘贴 在 计算 机 终端 上 写 有 口令 的 纸 条 。 在 频繁 更 换 口 令 的 时 候 ， 也 要 考虑 到 类 似 问 题 。 那 些 觉 得 
严格 的 口令 管理 制度 难以 遵循 的 用 户 ， 可 能 会 选择 易于 记忆 的 口令 ， 而 这 些 口 令 也 更 容易 被 猜 
测 到 。 他 们 可 能 很 快 恢复 他 们 最 喜欢 的 口令 ， 或 者 对 这 些 口 令 进行 简单 的 、 易 于 推断 的 修改 。 如 
果 你 每 个 月 都 必须 更 改口 令 ， 把 月 份 添 加 到 你 最 喜欢 的 口令 后 面 (01 ~ 12 的 两 位 数 ， 从 JAN ~ 
DEC 的 三 个 字符 ， 任 由 你 选择 ) ， 这 样 你 就 得 到 了 一 个 你 能 够 记 住 的 口令 了 。 当 然 , 一 旦 攻击 者 
发 现 这 些 口令 中 的 一 个 ， 他 就 很 容易 猜测 出 下 一 个 。 
接 下 来 ， 你 必须 面 对 这 样 的 事实 : 即使 是 那些 对 安全 非常 重视 的 用 户 ， 不 使 用 弱 口 令 、 不 把 
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口令 写 在 纸 条 上 ， 都 会 不 可 避免 地 经 常 忘记 口令 。 这 会 干扰 用 户 的 工作 。 为 了 获取 新 的 口令 ， 用 
户 需要 联系 系统 管理 员 。 这 又 会 干扰 系统 管理 员 的 工作 ， 从 而 为 新 的 攻击 打开 便利 之 门 。 迫 使 系 
统管 理 员 解 除 口令 是 一 种 尝试 和 检测 系统 入 侵 的 方法 。 成 功 的 系统 和 人 侵 方法 更 多 的 是 基于 社交 
方法 而 非 精 洪 的 技术 ( Mitmic and Simon, 2002) 。 

经 验证 明 ， 人 们 更 容易 记忆 那些 他 们 经 常 使 用 的 口令 。 因 此 ， 在 那些 需要 频繁 输入 口令 的 场 
合 使 用 口令 很 有 效 ， 但 是 在 那些 很 少 需要 输 和 人 口令 场合 却 不 是 如 此 。 当 你 更 改口 令 时 ， 建 议 重复 
输入 几 次 新 口令 。 另 外 一 个 好 建议 则 是 : 在 周末 或 节假日 之 前 不 要 更 改口 令 。 

经 验 教训 

你 一 定 不 能 孤立 地 看 待 安 全 机 制 。 事 实 上 ， 在 一 种 安全 机 制 上 强调 太 多 可 能 会 前 弱 系统 。 如 
果 安 全 机 制 不 合适 ， 用 户 就 不 能 很 好 地 完成 工作 ， 那 么 用 户 会 找 出 绕 过 安全 机 制 的 途径 。 通 过 口 
S, 你 已 经 注意 到 了 口令 的 复杂 性 和 人 的 记忆 能 力 之 间 的 折衷 了 。 


3.4 欺骗 攻击 


通过 用 户 名 和 口令 的 身份 认证 和 识别 提供 了 单方 认证 (unilateral authentication ) 。 用 户 输入 口 
S, 计算 机 验证 用 户 身 份 。 但 是 用 户 知道 谁 接收 到 了 口令 吗 ? 到 目前 为 止 ， 这 个 答案 都 是 不 知 
道 。 用 户 无 法 确定 在 线路 男 一 端 当事人 的 身份 。 

这 是 一 个 实 实在 在 的 问题 ， 它 导致 了 第 二 类 口令 威胁 。 在 欺骗 攻击 (spoofing attack) 中 ， 攻 
击 者 可 能 是 合法 的 用 户 。 他 在 某 个 终端 或 者 工作 站 上 运行 程序 ， 显 示 伪 造 登 录 界 面 。 毫 无 戒备 的 
用 户 来 到 这 个 终端 并 试图 在 这 个 终端 上 登录 。 受 害 者 通过 标准 的 登录 菜单 求 输入 用 户 名 和 口令 ， 
之 后 ， 这 些 用 户 名 和 口令 被 攻击 者 保存 下 来 。 接 下 来 ， 执 行 流 程 可 能 被 交还 给 用 户 。 或 者 ， 在 给 
出 伪造 的 出 错 信 息 之 后 终止 登录 ， 欺 骗 程 序 终止 执行 。 在 控制 流程 交还 给 系统 之 后 ， 系 统 弹 出 真 
正 的 登录 请 求 。 用 户 再 次 尝试 ， 登 录 成 功 ， 并 可 能 完全 不 知道 口令 已 经 受到 威胁 的 事实 。 

怎样 才能 应 对 这 类 欺骗 攻击 呢 ? 

e 显示 失败 的 登录 次 数 可 以 暗示 用 户 已 经 发 生 了 欺骗 攻击 。 如 果 第 一 次 登录 失败 了 ,但 在 

进行 第 二 次 登录 时 ， 被 告知 上 一 次 会 话 以 来 没有 过 不 成 功 的 登录 尝试 ， 那 么 就 应 该 留 
意 了 。 

o Tii: 确保 用 户 是 在 和 操作 系统 通信 ， 而 不 是 同 欺骗 程序 在 通信 。 比 如 ，Windows 有 
一 个 安全 警示 序列 (secure attention sequence) (Ctri + Alt + Del) ， 它 将 会 调用 Windows 操作 
系统 的 登录 屏幕 。 在 会 话 开 始 的 时 候 ， 即 便 系 统 登录 屏幕 已 经 显示 了 ， 你 也 应 该 按 下 这 个 
安全 序列 。 

e 相互 认证 ; 如 果 用 户 要 求 更 有 力 地 确信 与 之 通信 的 系统 的 身份 ， 如 在 一 个 分 布 式 系统 中 ， 

那么 可 以 要 求 系统 向 用 户 认证 自己 。 


口令 缓存 


除了 欺骗 攻击 之 外 ， 人 侵 者 可 能 会 采取 其 他 的 办 法 寻找 口令 。 我 们 对 登录 的 描述 是 相当 抽 
象 的 。 口 令 直接 从 用 户 处 传人 到 口令 检查 例 程 。 实 际 上 ， 口 令 会 被 暂时 存储 到 中 间 存 储 位 置 ， 比 
如 缓冲 区 、 高 速 缓存 或 者 网 页 。 这 些 存储 位 置 的 管理 超出 了 用 户 的 控制 范围 ， 而 且 口 令 在 这 些 位 
置 的 存放 时 间 可 能 会 比 用 户 预料 的 更 长 。 

在 开发 基于 Web 的 在 线 银 行 服务 (Arceneaux，1996) 时 ， 开 发 者 所 直到 的 一 个 问题 很 好 地 说 明 
了 这 一 点 。Web 浏览 器 会 缓存 信息 ， 以 便 用 户 能 够 返回 到 他 们 最 近 已 经 访问 过 的 页 面 。 为 了 使 用 在 
线 银行 服务 ， 你 必须 在 网 页 上 输入 口令 。 你 处 理 完 自己 的 业务 ， 关 闭 银行 服务 应 用 程序 ， 但 是 并 没 
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有 终止 浏览 器 会 话 。 终 端 上 的 下 一 位 用 户 能 够 返回 到 有 你 口令 的 页 面 ， 并 以 你 的 身份 登录 。 作 为 
一 种 防范 措施 ， 建 议 在 完成 银行 业务 后 退出 浏览 器 。 注 意 到 现在 用 户 被 要 求 参 与 内 存 管理 行为 ， 
这 一 行为 是 用 户 本 可 以 不 必 涉 及 的 。 这 是 对 象 重用 (object reuse) 的 又 一 个 实例 (2.5 节 ) 。 

经 验 教 训 

抽象 是 有 用 的 ， 同 时 又 是 危险 的 。 用 抽象 的 术语 来 讨论 口令 的 安全 性 很 有 用 。 你 可 以 研究 有 
应 对 关口 令 格 式 和 口令 老化 的 策略 ， 而 不 需要 知道 在 你 的 IT 系统 中 口令 是 怎样 处 理 的 。 然 而 ， 
只 在 这 样 的 抽象 层面 讨论 口令 的 安全 性 问题 是 危险 的 ， 执 行 方面 的 缺陷 可 能 会 威胁 到 最 安全 的 
策略 。 


3.5 保护 口令 文件 


为 了 验证 用 户 身 份 ， 系 统 将 用 户 输入 的 口令 同 存储 在 口令 文件 (password file) 中 的 值 进行 比 
较 。 对 于 攻击 者 而 言 ， 这 样 的 口令 文件 当然 是 极 具 吸引 力 的 目标 。 未 加 密 的 口令 文件 内 容 泄露 或 
者 是 文件 内 容 的 修改 ,都 构成 了 第 三 类 口令 威胁 。 即 便 是 经 过 加 密 的 口令 文件 泄露 也 应 当 关 注 。 
那样 ， 字 典 攻击 就 能 离线 进行 ， 从 而 使 像 限 制 不 成 功 登 录 尝 试 之 类 的 保护 措施 失效 了 。 为 了 保护 
口令 文件 ， 我 们 可 以 有 以 下 选择 : . 

。 加 密 保 护 。 

。 由 操作 系统 强加 的 访问 控制 。 

© 加 密 保护 和 访问 控制 相 结合 ， 或 者 可 能 有 更 强 的 保护 措施 来 减缓 字典 攻击 的 速度 。 

对 于 口令 保护 ， 我 们 甚至 不 需要 加 密 算法 ， 有 一 个 单 向 函数 就 可 以 了 。 目 前 ， 你 可 以 使 用 以 
下 的 初步 定义 : 


单 向 函数 (one- way function) 就 是 易于 计算 但 难以 北 推 的 函数 。 也 就 是 说 ， 给 定 工 很 
BWR fx), BEBE 所 xz) 却 很 难 计 算出 x, 


第 11 章 有 关于 单 向 函数 的 更 详细 的 介绍 。 单 向 函数 被 用 于 保护 被 存储 的 口令 已 经 有 相当 长 
的 一 段 时 间 了 ( Wilkes，1968 ，pp. 91ff) 。 口 令 文件 中 保存 的 不 是 口令 x 而 是 作 x) 。 当 用 户 登录 并 
输入 口令 ( 设 为 x') 的 时 候 ， 系 统 调用 单 向 汕 数 1/， 并 将 所 x') 同 用 户 的 作 x) 进行 比较 。 如 果 两 个 
值 相同 ， 用 户 就 被 成 功 认证 。 如 果 妃 xz) 是 一 个 理想 的 单 向 画 数 ， 从 所 zx) 重建 口令 x 是 不 可 行 
的 。 接 下 来 ， 我 们 将 使 用 “加 密 的 ”口令 这 个 词 ， 尽 管 我 们 实际 上 只 是 对 口令 使 用 了 一 个 单 向 
函数 。 

由 于 离线 字典 攻击 的 原因 ， 口 令 文件 不 能 够 是 其 他 人 可 读 的 。 在 字典 攻击 中 ， 攻 击 者 “加 
密 " 了 字典 中 的 所 有 单词 ， 并 与 口令 文件 中 的 各 个 加 密 条 目 进 行 比较 。 如 果 找 到 匹配 的 条 目 ， 攻 
击 者 就 知道 了 那个 用 户 的 口令 。 单 向 函数 可 以 用 来 减缓 字典 攻击 的 速度 。 这 种 考虑 支配 了 Unix 
系统 中 使 用 的 单 向 函数 crypt(3 ) 的 选择 。 该 函数 使 用 略 加 修改 的 DES 算法 ， 用 全 零 的 数据 块 作 
为 初始 值 ， 用 口令 作为 密 钥 ， 重 复 运行 算法 25 K (Morris and Thompson, 1979), MR, RAH 
合法 用 户 登 录 带 来 一 点 点 性 能 损失 。 但 是 ， 如 果 优 化 了 单 向 函数 的 速度 ， 同 时 也 会 提高 字典 攻击 
的 性 能 。 

操作 系统 中 的 访问 控制 机 制 只 允许 拥有 适当 权限 的 用 户 访问 文件 和 其 他 资源 。 只 有 特权 用 
户 才能 写 口令 文件 。 否 则 的 话 ， 即 使 口令 被 加 密 保 护 了 ， 攻 击 者 也 可 以 简单 地 通过 修改 其 他 用 户 
的 口令 来 访问 这 些 用 户 的 数据 。 如 果 只 有 特权 用 户 才 能 读 口 令 文件 ,那么 从 理论 上 讲 口令 文件 
可 以 不 用 加 密 保存 。 如 果 口 令 文 件 中 包含 了 非特 权 用 户 也 需要 的 信息 ， 那 么 口令 文件 必须 包含 
加 密 口 令 。 然 而 ， 这 样 的 文件 仍然 可 被 用 于 字典 攻击 。 一 个 典型 的 例子 就 是 Unix 的 /etc/passwd。 
因此 ,许多 Unix 版 本 将 加 密 的 口令 保存 在 一 个 不 可 公开 访问 的 文件 中 。 这 样 的 文件 被 称 为 影子 
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口令 文件 (shadow password file) 。 

专用 存储 格式 提供 了 一 种 较 弱 的 读 保 护 形式 。 比 如 ，Windows NT 以 专门 的 二 进 制 格式 保存 
加 密 的 口令 。 一 般 用 户 的 攻击 企图 会 被 挫败 ,但 是 一 个 顽固 执 描 的 攻击 者 将 能 获得 或 者 推断 出 
必要 的 信息 ， 从 而 找到 安全 相关 数据 存储 的 位 置 。“ 通 过 隐匿 而 获得 的 安全 性 "本身 不 是 非常 坚 
固 ， 但 可 以 把 它 加 到 其 他 安全 机 制 上 ， 如 口令 加 密 。 

但 是 ， 存 在 这 样 一 种 危险 ， 就 是 对 外 围 防线 的 成 功 罕 破 会 摧毁 其 他 所 有 的 部 分 。1997 年 初 ， 
AAR Windows NT 的 口令 安全 已 经 被 突破 了 。 听 上 去 很 严重 ,不 是 吗 ? 实际 情况 是 发 布 了 一 
个 程序 ， 能 将 加 密 的 口令 从 二 进 制 格式 转换 成 另 一 种 易于 阅读 的 表达 形式 。 激 动 之 余 发 现 根 本 
不 是 什么 大 事情 。 

如 果 你 担心 字典 攻击 ， 而 又 不 能 隐藏 口令 文件 ， 你 可 以 考虑 口令 加 盐 (password salting ) 。 当 
一 个 口令 需要 加 密 保存 时 ， 加 密 前 将 一 些 附加 信息 ( 盐 ) 添 加 到 口令 中 。 盐 同 加 密 的 口令 保存 在 
一 起 。 如 果 两 个 用 户 有 相同 的 口令 ， 它 们 在 加 密 口 令 的 文件 中 将 有 不 同 的 条 目 。 加 盐 减 缓 了 字典 
攻击 的 速度 ， 因 为 不 可 能 同时 搜索 几 个 用 户 的 口令 。 

经 验 教 训 

你 已 经 看 到 了 三 个 安全 设计 的 原则 : 

。 几 种 机 制 结合 起 来 可 以 增强 保护 。 加 密 和 访问 控制 用 来 保护 口令 文件 。 

。 通过 隐匿 而 获得 的 安全 性 只 能 防御 不 经 意 的 人 侵 者 。 不 要 对 这 种 策略 抱 太 多 的 信任 。 

。 如 果 可 能 的 话 ， 将 安全 相关 的 数据 和 那些 要 被 公开 访问 的 数据 隔离 开 来 。 在 Unix 中 ， 

/etc/passwd 包 含 以 上 两 种 数据 。 影 子 口 令 文件 能 够 获得 所 希望 的 隔离 性 。 


3.6 一 次 签到 





用 口令 来 区 分 朋友 和 敌人 的 历史 已 经 有 几 个 世纪 了 。 在 IT 环境 中 ， 它 们 控制 对 计算 机 、 网 
络 、 程 序 和 文件 等 的 访问 。 但 作为 用 户 ， 如 果 为 了 获取 一 点 信息 而 在 信息 空间 漫游 时 必须 一 遍 又 
一 遍地 输入 口令 ， 你 会 觉得 很 不 方便 。 当 坐 在 计算 机 前 ， 需 要 网 络 中 某 台数 据 库 服务 器 中 的 信息 
时 ， 如 果 必 须 做 以 下 一 些 事 情 ， 你 会 觉得 愉快 吗 : 

。 在 工作 站 上 输入 第 一 个 口令 

e 输入 第 二 个 口令 以 进入 网 络 。 

。 输入 第 三 个 口令 访问 服务 器 。 

。 输入 第 四 个 口令 访问 数据 库 管 理 系统 。 

。 输 入 第 五 个 口令 打开 数据 库 中 的 一 张 表 。 

且 不 去 想 可 能 需要 记忆 五 个 不 同 的 口令 ， 并 需要 在 每 一 种 场合 选择 一 个 正确 的 口令 输入 ， 
就 是 将 相同 的 口令 重复 输入 五 次 已 经 够 糟 灿 了 。 

一 次 签到 服务 (single sign-on service) 解决 了 这 个 问题 。 只 要 输入 一 次 口令 ， 系 统 保存 这 个 口 
令 ， 并 在 需要 重新 认证 的 时 候 取出 口令 替 你 完成 这 件 事 。 这 样 的 一 次 签到 服务 为 你 提供 了 方便 ， 
但 它 也 引发 了 新 的 安全 问题 。 如 何 保护 存储 的 口令 ? 前 面 提 到 的 一 些 技 术 不 再 有 用 ， 因 为 系统 现 
在 需要 你 的 明文 形式 的 口令 。 

经 验 教 训 

系统 设计 者 必须 权衡 方便 性 和 安全 性 。 易 于 使 用 是 使 得 IT 系统 真正 有 用 的 一 个 重要 因素 。 
遗憾 的 是 ， 许 多 方便 的 举措 也 引入 了 新 的 弱点 。 后 面 还 会 遇 到 因 方 便 性 引发 的 灾难 伤害 你 此 类 
的 问题 。 
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3.7 可 供 选 择 的 方法 


如 果 你 不 满足 口令 提供 的 安全 级 别 ， 你 还 可 以 做 什么 呢 ? 从 一 般 的 观点 来 看 ， 以 下 选择 都 是 
可 取 的 。 作 为 用 户 ， 你 可 以 基于 以 下 信息 进行 认证 : 

。 你 知道 的 事情 。 

。 你 拥有 的 东西 。 

。 你 是 谁 。 

© 你 做 什么 。 

© 你 在 哪里 。 

1. 你 知道 的 事情 

用 户 必须 知道 一 些 信息 才能 被 认证 。 你 已 经 看 到 了 这 种 认证 模式 的 第 一 个 例子 , 口令 就 是 
你 知道 的 事情 。 男 一 个 例子 就 是 同 银行 卡 一 起 使 用 的 个 人 识别 码 (PIN) 或 者 类 似 的 令 牌 。 第 三 个 
例子 ， 考 虑 你 打 电 话 查 询 银 行 账户 的 情形 ， 接 听 电 话 的 银行 职员 在 告诉 你 任何 信息 之 前 可 能 会 
向 你 询问 更 多 的 个 人 信息 ， 像 家 庭 住址 、 出 生日 期 、 配 偶 名 字 等 。 

在 这 种 认证 模式 中 ， 获 知 你 秘密 的 “就 是 你 ”。 另 一 方面 ， 如 果 你 把 秘密 告诉 其 他 人 ， 不 会 
留 下 任何 痕迹 。 当 你 所 在 的 单位 发 生 了 滥用 计算 机 的 事件 ， 有 人 用 你 的 用 户 名 和 口令 登录 了 了。 你 
能 证 明 你 是 无 束 的 吗 ? 你 能 证 明 你 没有 泄露 口令 吗 ? 

2. 你 拥有 的 东西 | 

用 户 必 须 出 示 一 个 物理 标记 才能 被 认证 。 能 打开 锁 的 钥匙 就 是 你 拥有 的 东西 。 这 种 标记 的 
另 一 个 例子 就 是 用 于 控制 进入 公司 大 门 的 卡片 或 身份 标签 。 由 于 口令 管理 代价 的 驱使 ， 大 型 单 
位 已 经 引入 了 用 于 用 户 认证 的 智能 卡 (smart card) 。 

物理 标记 可 能 会 遗失 或 被 盗 。 如 上 所 述 ， 任 何 拥 有 标记 的 人 将 具有 与 合法 拥有 者 相同 的 权 
利 。 为 了 增加 安全 性 ， 物 理 标记 通常 与 你 知道 的 事情 结合 起 来 使 用 ， 比 如 银行 卡 与 PIN 一 起 使 
用 ， 或 者 它们 包含 能 够 识别 合法 用 户 的 信息 ， 比 如 银行 卡 上 的 照片 。 然 而 ， 就 是 这 些 机 制 结 合 
来 也 不 能 防止 骗子 获得 必要 的 信息 去 假冒 合法 用 户 ， 也 不 能 阻止 用 户 自愿 传递 这 些 信 息 。 

3. 你 是 谁 

生物 测定 技术 或 许 能 为 个 人 认证 提供 最 终 解决 方案 。 生 物 测 定 技术 是 使 用 人 的 独特 的 生理 
特性 ， 比 如 人 脸 、 指 纹 、 虹 膜 图 案 ( Pargrmen，1993) 、 手 臂 几 何 学 ， 或 许 将 来 还 会 采用 DNA, 
来 进行 认证 。 在 编写 该 书 的 时 候 ， 人 们 仍 在 致力 于 生物 测定 技术 的 开发 。 

我 们 将 以 指纹 为 例 来 描述 生物 认证 的 原理 。 首 先 ， 需要 采集 用 户 的 指纹 (所 谓 的 “参考 模 
板 ”) 。 为 了 更 准确 ， 需 要 收集 好 几 个 模板 ， 可 能 要 收集 不 同 手指 的 指纹 。 这 些 模板 被 存储 在 安 
全 数据 库 中 。 这 一 过 程 叫做 注册 (enrollment) 。 在 用 户 登 录 之 时 ， 再 次 读 取 用 户 指纹 ， 并 将 该 指 
纹 同 存储 的 模板 进行 比较 即 可 。 采 用 生物 测定 技术 有 以 下 两 个 目的 。 

。 身份 识别 : lin 比较 ,试图 从 数据 库 中 的 个 人 中 找 出 用 户 。 

。 验证 : 1:1 比较 ， 对 一 个 给 定 用 户 ， 检 查 是 否 存在 匹配 。 

对 于 每 一 次 认证 尝试 ， 基 于 口令 的 认证 都 能 够 明确 地 拒绝 或 接受 用 户 认 证 。 相 反 ， 在 生物 测 
定 中 ， 存 储 的 参考 模板 几乎 从 来 都 不 能 精确 匹配 实际 测量 的 模板 。 我 们 需要 一 个 计算 参考 模板 
和 当前 模板 之 间 相 似 值 的 匹配 算法 (matching algorithm)。 如 果 相 似 值 超过 了 预先 定义 的 阐 值 ， 就 
接受 用 户 。 因 此 ， 我 们 必须 面 对 一 个 新 的 问题 ， 假 阳性 (false positives ) 和 假 阴 性 (false nega- 
tives ) 。 接 爱 错 误 的 用 户 ( 假 阳性 ) 是 一 个 明显 的 安全 问题 。 拒 绝 合法 用 户 ( 假 阴性 ) 则 会 造成 着 众 
以 及 潜在 的 可 用 性 问题 。 
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通过 设置 匹配 算法 的 阔 值 ， 我 们 可 以 交换 错误 接受 率 (false acceptance rate, FAR) 和 错误 拒 
绝 率 (false rejection rate, FRR), 反之 亦 然 FAR( 错误 接受 率 ) FRR( 错误 拒绝 率 ) 
(图 3-1)。 生 物 测定 认证 系统 的 设计 者 必须 在 O” 
这 两 种 错误 之 间 找 到 合理 的 平衡 ， 而 这 种 平 
衡 极 其 依赖 于 具体 应 用 。 如 果 FAR 与 FRR 相 
等 ， 那 么 国 值 为 同等 错误 率 (equal error rate) 。 
目前 ， 最 先进 的 指纹 识别 系统 的 ERR 为 1% ~ 
2% 。 虹 膜 模式 识别 性 能 更 加 优越 。 总 地 来 30% 
说 ， 工 业界 正 尝 试 在 大 范围 内 部 署 生物 测定 
方案 ， 而 在 受 控 环 境 下 得 到 的 结果 是 否 表 明 20% 


了 其 具有 良好 的 实际 应 用 性 能 还 有 待 观察 。 10% 
实际 上 ， 技 术 问 题 从 注册 是 就 开始 产生 
To ÈA kW # (failure to enroll rate, FER) 0% LN - 
指 系统 无 法 注册 用 户 的 频率 ， 比 如 指纹 皮肤 mä 1 


磨损 极为 厉害 以 至 于 无 法 获取 高 质量 的 模板 。 图 3-1 fe ADE RCRA MSR AY FAR 和 FRR Ñ 
还 有 一 个 问题 就 是 伪造 的 指纹 。 指 纹 以 及 一 般 意 义 上 的 生理 特征 或 许 是 唯一 的 ， 但 决 不 是 秘密 。 
许多 地 方 都 可 能 留 有 你 的 指纹 ， 而 且 经 证 明 要 想 制作 一 个 可 以 击溃 绝 大 多 数 商用 指纹 识别 系统 
的 橡胶 手指 并 非 难 事 ( Van der Putte and Keuning, 2000; Matsumoto，2002 ) 。 如 果 在 安全 人 员 在 
场 的 情况 下 进行 生物 测定 认证 ， 那 么 这 只 是 一 个 小 问题 。 然 而 ， 在 认证 远程 用 户 时 ， 必 须 考 虑 得 
更 充分 以 便 阻止 这 类 欺骗 。 

最 后 一 个 问题 ， 用 户 会 接受 这 样 一 个 机 制 吗 ? 在 提取 指纹 时 ， 他 们 可 能 感觉 自己 被 当成 了 罪 
犯 。 他 们 可 能 也 不 走 欢 用 一 束 激光 扫描 视网膜 的 做 法 。 

4. 你 做 什么 

人 们 往往 以 一 种 重复 的 方式 以 及 个 人 特有 的 方式 去 做 一 些 机 械 性 的 工作 。 在 银行 业务 中 ， 
手写 签名 一 直 被 用 于 确认 用 户 身份 ， 比 如 在 签署 支票 和 信用 卡 清单 的 时 候 。 当 然 ， 伪 造 签 名 相对 
更 容易 。 为 了 获得 更 高 的 安全 性 ， 用 户 可 以 在 一 个 特殊 的 垫子 上 签名 ， 垫 子 可 以 测量 出 类 似 于 书 
写 速度 和 书写 力度 之 类 的 属性 。 在 键盘 上 ， 键 入 速度 以 及 项 击 不 同 键 之 间 的 时 间 间 隔 都 可 以 用 
于 认证 单个 用 户 。 如 前 所 述 ， 认 证 系统 必须 建立 起 来 ， 使 得 假 阳 性 和 假 阴性 减少 到 相关 应 用 可 以 
接受 的 程度 。 

5. 你 在 哪里 

当 你 登录 时 ， 系 统 可 能 还 要 考虑 你 在 哪里 。 一 些 操作 系统 已 经 这 样 做 了 ， 并 且 仅 当 你 是 从 某 
个 特定 的 终端 登录 时 才 给 予 访问 权限 。 比 如 ， 系 统管 理 员 只 能 从 操作 员 控 制 台 登 录 ， 而 不 能 从 任 
意 的 用 户 终端 登录 。 类 似 地 ， 作 为 用 户 ， 你 只 能 从 你 办 公 室 的 工作 站 上 登录 。 在 移动 通信 和 分 布 
式 计算 中 ， 这 种 决策 使 用 得 更 为 频繁 。 如 果 在 认证 过 程 中 需要 确定 精确 的 地 理 位 置 ， 那 就 需要 使 
用 全 球 定位 系统 ( Global Positioning System，GPS) 。 在 处 理 用 户 的 登录 请 求 时 确定 用 户 的 位 置 ， 
也 有 助 于 解决 以 后 关于 用 户 真实 身份 的 争端 。 

6. 经 验 教 训 

口令 并 不 认证 人 ， 成 功 的 认证 仅仅 表明 了 用 户 知道 一 个 特定 的 秘密 。 没 有 办 法 区 分 合法 用 
户 和 已 经 获取 到 该 用 户口 令 的 人 侵 者 。 


3.8 深层 阅读 
Morris and Thompson( 1979) AT Unix 口令 的 安全 历史 ， 在 文章 中 还 可 以 找到 非常 有 趣 的 
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关于 口令 选择 的 统计 。Feldmeier and Karn( 1990) NA T Unix 口令 安全 后 来 的 发 展 。 事 实 上 ， 几 
乎 所 有 关于 计算 机 安全 的 书 都 包含 有 大 量 的 有 关 正 确 选 择 口 令 的 建议 ,并且 阐述 了 口令 安全 的 
重要 性 。 在 因特网 上 ， 你 可 以 找到 大 量 的 口令 破解 器 (cracker) 。 分 析 这 样 的 一 个 程序 就 能 帮助 
你 对 破解 程序 搜索 的 口令 类 型 、 所 使 用 的 字典 的 大 小 和 复杂 性 有 一 个 清楚 的 认识 。 未 经 明确 多 
许 而 运行 这 样 一 个 程序 可 能 与 你 单位 的 规章 制度 以 及 许多 国家 的 刑法 相抵 触 。 


3.9 练习 


练习 3. 1 检查 你 计算 机 系统 上 的 口令 方案 。 它 在 口令 长 度 、 口令 格式 以 及 口令 期 限 方面 有 
规定 吗 ? 口令 是 怎样 存储 在 你 的 系统 中 的 ? 

练习 3.2 假定 只 允许 你 使 用 26 个 字母 来 构造 口令 : 

。 如 果 口 令 长 度 最 多 为 n 个 字符 ,，n =4,， 6,8, 不 区 分 大 小 写 ， 可 能 有 多 少 个 不 同 的 口令 ? 

e 如 果 口 令 长 度 最 多 为 n 个 字符 ，n =4，6，8， 区 分 大 小 写 ， 可 能 有 多 少 个 不 同 的 口令 ? 

练习 3.3 假定 口令 长 度 为 6 个 字符 ， 可 以 使 用 字母 和 数字 ， 区 分 大 小 写 。 在 以 下 条 件 下 ， 
蛮 力 攻击 平均 所 需要 的 时 间 分 别 为 多 少 ? 

。 检查 一 个 口令 需要 1/10 $? 

。 检查 一 个 口令 需要 1 微 秒 ? 

练习 3.4 假定 你 只 允许 使 用 26 个 字符 来 构造 长 为 n 的 口令 。 进 一 步 假 设 你 在 区 分 大 小 写 
和 不 区 分 大 小 写 的 两 个 系统 中 使 用 了 此 口令 ， 试 给 出 猜测 出 大 小 写 区 分 的 口令 所 需要 的 最 天 党 
试 次 数 。 

练习 3. 5 试 编写 一 个 口令 生成 程序 ， 以 一 个 长 度 为 s 的 随机 数 为 种 子 作为 输入 。 在 下 面 的 
实验 中 , 取 s=8, 16, 32, 64; 

。 让 不 同 的 用 户 用 你 的 方案 生成 口令 ， 并 监控 不 同 用 户 选 择 了 相同 口令 的 事件 。 

e 生成 一 个 口令 并 对 其 加 密 。 通 过 尝试 随机 种 子 的 所 有 值 试 图 找 出 原来 的 口令 。 在 找到 口 

令 之 前 ， 你 需要 的 猜测 次 数 的 期 望 值 是 多 少 ? 

练习 3.6 口令 由 用 户 输入 并 由 计算 机 检查 。 因 此 ， 在 用 户 和 计算 机 之 间 一 定 有 通信 的 通 
道 。 到 目前 为 止 ， 我 们 一 直 非 常 抽象 地 看 待 这 个 通道 ， 假 设 它们 存在 并 且 足 够 安全 。 什 么 时 候 这 
种 假设 是 合理 的 ?什么 时 候 是 不 合理 的 ? 

练习 3.7 如 果 你 每 次 都 要 求 使 用 几 个 口令 ， 你 可 以 考虑 将 它们 保存 在 一 个 口令 短 (pass- 
word book) 里 。 口 令 竹 是 一 个 含有 口令 的 受 保护 文 件 ， 对 口令 短 的 访问 可 以 通过 一 个 主 口 令 
(master password) 来 控制 。 这 样 一 种 方案 能 提供 任何 实际 的 好 处 吗 ? 

练习 3.8 Hellman(1980) 提 出 了 口令 猜测 在 时 间 和 存储 器 之 间 存 在 一 个 折 中 。 令 N 为 可 能 
的 口令 数目 。 在 一 个 使 用 NN 次 试 加 密 的 预计 算 步 又 中 ， 构 造 出 一 个 具有 N” 个 表 项 的 表 。 如 果 你 
以 后 需要 找 出 一 个 给 定 的 加 密 口令 ， 你 需要 N”“ 个 测试 加 密 。 

当 长 度 为 6 的 口令 选 自 于 5 比特 的 字符 集 时 ， 你 需要 多 少 内 存 空间 ? 如 果 一 次 编码 耗 时 1 训 
秒 ， 你 多 快 能 找到 口令 ? 

练习 3.9 对 商用 生物 测定 认证 系统 进行 调查 。 那 些 系统 的 错误 接收 率 、 错 误 拒 绝 率 以 及 同 
等 错误 率 各 是 多 少 ? 
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现在 你 已 经 登录 到 系统 上 ， 创 建 了 新 的 文件 ， 并 且 想 保护 你 的 文件 。 你 的 文件 有 些 可 能 是 公 
用 的 ， 有些 文件 打算 给 有 限 的 用 户 使 用 ， 而 有 些 可 能 是 私有 的 。 你 需要 一 种 表达 你 想 要 的 访问 控 
制 策 略 的 术语 和 一 种 执行 访问 控制 的 机 制 。 本 章 将 介绍 一 些 访问 控制 的 术语 ， 在 第 8、9 两 章 将 
详细 研究 具体 的 访问 控制 策略 。 

目标 

。 介绍 访问 控制 的 基本 模型 。 

。 考虑 几 组 访问 操作 ， 重 视 用 直觉 来 代替 术语 的 实际 定义 的 危险 性 。 

© 给 出 独立 于 特定 安全 策略 的 基本 访问 控制 结构 。 

© 定义 偏 序 (partial ordering) 和 格 (lattice) ， 这 是 常用 来 表达 安全 策略 的 数学 概念 。 


4.1 背景 


在 深入 访问 控制 的 细节 之 前 ， 先 来 细 想 一 下 计算 机 系统 以 及 计算 机 系统 的 使 用 在 过 去 几 十 
年 中 的 发 展 方式 。 计 算 机 系统 处 理 数据 ， 并 且 协 调 对 存储 器 、 打 印 机 等 共享 资源 的 访问 ， 它 们 必 
须 提供 对 数据 和 资源 的 访问 控制 ， 尽 管 主要 是 为 了 完整 性 而 不 是 机 密 性 。 传 统 的 多 用 户 操作 系 
统 为 众多 不 同 的 用 户 提供 普通 服务 。 就 其 本 质 来 说 ， 这 些 操 作 系 统 具 有 简单 和 通用 的 访问 操作 ， 
并 不 牵涉 及 他 们 所 处 理 的 文件 的 意义 。 现 代 桌 面 操作 系统 支持 单个 用 户 完 成 他 们 的 工作 ， 在 这 
种 情况 下 ， 你 会 发 现 十 分 复杂 的 极其 依赖 于 特定 应 用 的 访问 操作 。 用 户 对 他 们 程序 执行 时 较 低 
层 的 细节 并 不 感 兴趣 。 姓 庸 置 疑 ， 若 将 高 层 的 安全 需求 映射 到 低层 的 安全 控制 上 可 能 十 分 困难 ， 
简 而 言 之 ， 你 将 会 目睹 从 通用 (general purpose) 计 算 机 系统 到 (灵活 的 ) 专 用 (special purpose) 计算 
机 系统 的 转变 。 在 比较 本 书 中 介绍 的 不 同 的 访问 控制 模型 时 ， 需 将 这 个 趋势 牢 御 地 记 在 心里 。 


4.2 认证 和 授权 


为 了 讨论 访问 控制 ， 我 们 首先 必须 给 出 一 个 合适 的 术语 。“ 访 问 ” 的 本 质 含 义 是 一 个 活动 的 
实体 、 一 个 主体 (subject) 、 一 个 主角 (Principat) ， 使 用 某 种 特定 的 访问 操作 (access operation) 去 
访问 一 个 被 动 的 客体 (对 象 ) ， 同 时 有 一 个 引用 监控 器 (reference monitor) (参见 第 5 章 ) 允许 或 拒 


绝 访问 ， 图 4-1 给 出 了 访问 控制 图 。 
mes 
防御 


图 4-1 访问 控制 的 基本 模型 
访问 控制 接着 包括 有 两 个 步骤 ， 即 认证 和 授权 。 搞 自 Lampson et al. (1992) 。 
如 果 s 是 一 个 声明 ， 主 角 就 会 在 认证 过 程 中 回答 " 谁 说 的 8" 这 个 问题 。 这 个 主角 做 出 了 
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(ACL pees At ): EM) 


资源 
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声明 ; 这 是 他 们 赞同 的 。 同 样 的 ， 如 果 o 是 一 个 客体 ， 主 角 就 会 在 认证 过 程 中 回答 “ 谁 
是 被 信任 可 以 来 访问 o 的 ”。 


虽然 在 安全 性 著作 里 ， 对 作 访 问 控制 的 实体 有 两 个 术语 ， 即 主体 和 主角 ， 但 没有 一 致 的 方 来 
区 分 这 两 个 概念 没有 区 别 。 一 边 是 主体 和 主角 的 关系 ， 另 一 边 是 主体 /主角 和 计算 机 系统 用 户 的 
关系 ， 这 更 加 混淆 了 描述 。 为 了 能 区 别 这 两 个 概念 的 意思 ， 我 们 不 妨 从 有 关 操作 系统 安全 的 早期 
文献 中 找到 一 点 提示 。 

主体 代表 被 我 们 称 之 为 主角 的 用 户 进行 操作 。 在 认证 过 程 中 ， 访 问 是 基于 主角 的 名 称 

的 ， 这 个 名 称 在 认证 过 程 中 用 一 种 不 可 伪造 的 方式 与 主体 绑 定 在 一 起 。 因 为 访问 控制 

结构 识别 主角 ， 所 以 主角 名 称 必须 全 局 唯一 ， 可 读 ， 可 存储 ， 能 够 很 容易 和 可 靠 地 和 已 

知 的 人 联系 在 一 起 (Gasser，1990)。 


这 个 引用 阐明 了 传统 的 基于 身份 的 访问 控制 (identity- based access control) ， 这 种 访问 控制 中 
的 安全 策略 最 终 和 用 户 相 联系 。 这 个 仍然 是 被 商用 操作 系统 支持 的 最 普遍 的 类 型 ,但 是， 如 15 
章 讨 论 那样 ， 它 不 再 是 访问 控制 的 唯一 范例 。 在 与 上 面 提 到 的 传统 相 一 致 的 通用 框架 中 ， 我 们 在 
谈 到 安全 策略 时 使 用 主角 ， 在 谈论 执行 安全 策略 的 操作 系统 时 使 用 主体 。 

主角 主角 是 一 个 实体 ， 这 个 实体 能 被 授予 访问 对 象 的 权限 或 做 出 影响 访问 控制 决策 

的 声明 (Gasser et al , 1989), 

主体 主体 是 IT 系统 的 活动 实体 。 

为 了 访问 决策 的 目的 ， 主 体 必 须 和 主角 绑 定 在 一 起 。 当 主体 请 求 对 一 个 访问 受 保 护 的 对 象 
时 ， 引 用 监控 器 会 检查 与 主体 绑 定 的 主角 是 否 有 权 访 问 对 象 。 因 此 我 们 说 主体 “代表 ”一 个 主角 。 
操作 系统 中 的 典型 的 例子 是 主角 就 是 用 户 标识 。 人 允许 访问 某 个 给 定 对 象 的 主角 可 以 被 存储 在 素 
属于 某 个 对 象 的 访问 控制 列表 中 (图 4-1)。 主 体 的 典型 例子 就 是 一 个 在 用 户 标识 (主角 ) 下 运行 的 
进程 。 当 然 ， 主 角 不 需要 描述 用 户 或 用 户 特性 。Java 中 的 访问 控制 主要 参数 是 源码 (15.3 节 ) ， 
主体 和 主角 的 关系 定义 如 下 (Gong 1999); 


术语 主角 表示 了 一 个 与 主体 相 联系 的 名 字 。 因 为 主体 可 能 含有 多 个 名 字 ， 一 个 主体 本 
质 上 是 由 一 组 主角 组 成 。 


典型 的 客体 (对 象 ) 是 文件 或 资源 ， 像 存储 器 、 打 印 机 或 计算 机 网 络 中 的 节点 。 但 这 并 不 是 
要 把 系统 中 的 每 个 实体 都 明确 地 分 为 主体 或 对 象 。 根 据 不 同 的 情况 ,实体 可 能 是 某 个 访问 请 求 
的 主体 ， 而 又 是 另 一 个 访问 请 求 的 对 象 。 术 语 “ 主体 ”和 “对 象 "只 是 区 分 一 个 访问 请 求 中 的 主动 
方 和 被 动 方 。 主 体 和 对 象 给 出 了 关注 控制 的 两 个 选项 ， 你 可 以 规定 以 下 任 一 种 : 

。 一 个 主体 允许 做 什么 。 

© 可 以 对 一 个 对 象 做 什么 。 

这 是 2.4.1 节 中 第 1 个 设计 决策 的 例子 。 通 常 ， 操 作 系 统 的 主要 任务 是 管理 文件 和 资源 ， 即 
客体 (对 象 )。 在 这 样 一 种 情况 下 ， 你 遇 到 的 主要 是 采用 第 二 种 方法 的 访问 控制 机 制 。 然 而 ， 我 
们 刚才 已 经 提 到 了 面向 应 用 的 IT 系统 ， 像 数据 库 管理 系统 ， 直 接 面 向 终端 用 户 提供 服务 。 这 种 
系统 可 以 适当 加 入 控制 主体 行为 的 机 制 。 

在 下 面 的 段落 中 ， 要 涉及 : 

。 主体 集合 S。 

。 对象 集 合 O。 

。 访问 操作 集合 A. 
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我 们 不 需要 对 这 些 集合 作 更 详细 的 解释 了 。 
4.3 访问 操作 


从 对 存储 器 读 写 到 面向 对 象 系统 中 的 方法 调用 ， 这 些 访问 操作 均 不 相同 ， 这 取决 于 你 如 何 
看 待 一 个 计算 机 系统 。 类 似 的 系统 可 以 使 用 不 同 的 访问 操作 。 更 粮 糕 的 是 ,在 看 似 相 同 的 操作 上 
可 能 附加 不 同 的 含义 。 本 书 将 从 该 领域 早期 的 重要 文献 中 研究 一 些 典型 的 访问 操作 集 。 


4.3.1 访问 模式 


在 最 基本 的 级 别 上 ， 主 体 可 以 观察 或 者 改变 对 象 ， 因 此 ， 我 们 定义 了 两 种 访问 模式 (acess mode)。 

e 查看 (observe) : 查看 对 象 的 内 容 。 

oA (alter): 改变 对 象 的 内 容 。 

尽管 大 多 数 访问 控制 策略 可 以 用 查看 和 修改 的 观点 来 表达 ,但 这 种 策略 描述 通常 离 他 们 正 
在 处 理 的 应 用 太 远 了 ， 使 得 难以 检查 正确 的 策略 是 否 已 经 执行 了 。 因 此 ， 通 常会 找到 一 组 更 为 丰 
富 的 访问 操作 集 。 


4.3.2 Bell-LaPadula 模型 的 访问 权限 


在 下 一 个 复杂 级 别 上 ， 你 会 发 现 8.2 节 中 讨论 的 Bell- LaPadula 安全 模型 的 访问 权限 (access 
right) 和 Multics 操作 系统 (Organick，1972 ) 中 的 访问 属性 (access attribute) ， 这 是 计算 机 安全 历史 
上 的 两 个 里 程 碑 。 

Bell- LaPadula 模型 有 4 种 访问 权限 : 执行 、 读 、 附 加 (有 时 候 也 称 为 盲 写 ) 和 写 。 图 4-2 给 出 
了 这 些 访 问 权限 与 查看 和 修改 这 两 个 基本 访问 模式 之 间 的 关系 。 


[一 [天 
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Æ 4-2 Bell-LaPadula 模型 的 访问 权限 


为 了 弄 清 楚 这 样 定义 的 原因 ， 可 以 考虑 一 下 多 用 户 操作 系统 是 如 何 控制 对 文件 的 访问 的 。 
用 户 在 允许 存 取 前 必须 先 打开 一 个 文件 。 通 常 文件 可 以 被 打开 用 于 读 或 者 写 访问 。 在 这 种 方式 
下 ， 操 作 系统 可 以 避免 像 两 个 用 户 同时 写 同一 个 文件 这 种 可 能 的 冲突 。 为 了 效率 的 缘故 ， 写 访问 
通常 包括 读 访问 ， 比 如 一 个 编译 文件 的 用 户 不 应 该 要 求 打 开 文件 两 次 ， 一 次 用 于 读 ， 一 次 用 于 
写 。 因 此 ， 定 义 写 权限 是 有 意义 的 ， 以 便 它 可 以 包括 查看 和 修改 这 两 种 方式 。 

几乎 没有 一 个 系统 真正 意义 上 实现 了 附加 操作 。 在 大 多 数 的 应 用 中 ， 人 允许 用 户 不 查看 对 象 的 内 
容 而 去 改变 对 象 的 操作 是 不 实用 的 。 然 而 审计 日 志 是 附加 权限 的 一 个 有 用 的 例子 。 写 日 志文 件 的 进 
程 不 需要 读 文件 ， 并 且 可 能 根本 就 不 应 该 读 文件 。 

操作 系统 可 以 根本 不 用 打开 文件 而 使 用 文件 ， 如 
程序 。 因 此 引入 了 既 不 包括 查看 也 不 包括 修改 方式 的 
执行 权限 。 你 可 能 要 问 计算 机 如 何 才能 不 读 程序 的 指 
令 就 执行 程序 呢 ? 你 当然 是 对 的 ， 而 且 Multics 执行 属 
性 确实 要 求 执 行 和 读 的 权限 。 但 是 有 些 操作 ， 不 用 读 
对 象 的 内 容 就 可 以 用 于 执行 。 假 设 有 一 个 加 密 引 擎 在 
一 个 特殊 的 防 自 改 寄存 器 中 (图 4-3) 存 有 一 个 主 密 钥 ， 图 4-3 加密 引擎 
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们 可 以 不 读 出 这 个 密 钥 而 调用 它 ， 执 行 权 限 刚好 是 解决 这 样 一 个 问题 所 需要 的 。 

经 验 教训 

在 解释 其 他 人 定义 的 访问 操作 时 ， 小 心 使 用 自己 的 直觉 ! 

Multics 操作 系统 区 分 数据 部 分 的 访问 属性 和 目录 部 分 的 访问 属性 。 根 据 对 象 的 类 型 用 不 同 
的 方法 解释 一 组 给 定 的 访问 权限 实际 上 是 一 种 普遍 的 做 法 。 在 命名 这 些 访问 属性 的 的 时 候 我 们 
仍然 要 使 用 像 “ 读 ”、“ 写 ”和 “执行 "这 样 的 术语 ,但 是 它 们 与 Bell- LaPadula 模型 中 的 意思 不 是 完 
全 相同 的 。 为 了 让 我 们 的 表示 方法 保持 清晰 ， 我 们 将 用 e，r，a，w 来 表示 Bell- LaPadual 的 访问 
权限 。 图 4-4 给 出 了 访问 属性 和 访问 权限 之 间 的 对 应 关系 。 
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读 上 状态 £ 
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图 4-4 Multics 中 的 访问 属性 


4.3.3 当前 的 操作 系统 


一 个 较 常 用 的 例子 是 Unix 操作 系统 ， 其 访问 控制 策略 用 三 种 操作 来 表示 。 

se 读 (read) : 从 一 个 文件 读 。 

e 写 (write) : 写 进 一 个 文件 。 

o 执行 (execute) : 执行 一 个 (程序 ) 文 件 。 

这 些 操作 同 Bell- LaPadual 模型 中 的 那些 操作 不 同 ， 比 如 ， 在 Unix 中 写 访 问 并 不 意味 着 读 访 
问 。 如 果 应 用 于 目录 时 ,访问 操作 采用 以 下 定义 。 

e 读 : 列 出 目录 内 容 。 

。 写 ; 创建 或 重 命 名 目录 中 的 一 个 文件 。 
eT: 搜索 目录 。 

可 以 看 到 ，Unix 通过 控制 对 目录 文件 的 写 访问 来 控制 谁 可 以 创建 和 删除 文件 。 这 些 为 文件 
规定 的 访问 权限 通过 修改 文件 在 目录 中 的 表 项 来 改变 。 其 他 操作 系统 则 包含 特殊 的 操作 用 于 删 
除 文件 。 

我 们 把 Windows 2000 操作 系统 作为 使 用 这 种 设计 决策 的 最 后 一 个 例子 。Brown(2000) 中 标 
准许 可 (standard permision ) 列表 是 ， 

。 读 控制 。 

。 删除。 

。 写 自 主 访问 控制 列表 (DACL) (修改 访问 控制 列表 ) 。 
。 写 所 有 者 (修改 资源 的 所 有 者 )。 

。 同步 (用 于 多 线程 程序 的 同步 ) 。 

修改 访问 权限 的 操作 ， 如 ， 写 自主 访问 控制 列表 (DACL)， 是 设置 安全 策略 时 你 可 能 想 要 使 
用 的 一 种 操作 。 这 种 修改 主体 访问 权限 的 操作 在 主体 的 权限 被 第 三 方 修改 时 一 般 被 称 为 允许 
(grant) 和 取消 (revoke) ， 而 在 主体 改变 自己 的 访问 权限 时 称 为 断言 (assert) 和 拒绝 (deny)。 在 授 
权 策 略 ( delegation policy) 中 ， 当 一 个 主体 调用 另 一 个 主体 且 需 要 建立 被 调用 主体 的 权限 时 ， 即 可 
进行 最 令 人 感 兴趣 的 操作 。 
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第 7 章 中 给 出 了 更 多 的 关于 Windows 2000 的 访问 许可 内 容 。 
4.4 所 有 权 


在 讨论 访问 控制 时 ， 我 们 还 必须 规定 谁 负 责 制 定 这 些 策略 。 这 儿 有 两 个 基本 的 选择 ; 
e 我 们 可 以 为 每 个 资源 定义 一 个 所 有 者 ， 让 所 有 者 规定 谁 可 以 访问 。 这 类 策略 可 以 称 为 是 
自主 的 (discretionary) ， 因 为 访问 控制 由 所 有 者 来 处 理 。 

© 系统 策略 规定 谁 可 以 访问 。 显 然 ， 这 类 策略 被 称 为 强制 的 (mandatory ) 。 

大 多 数 操作 系统 都 支持 资源 所 有 权 的 概念 ， 并 且 在 作 访 问 控制 决策 时 考虑 所 有 权 。 它 们 可 
能 包含 重 定义 资源 所 有 权 的 操作 。 

上 面 给 出 了 自主 /强制 访问 控制 的 直观 解释 ， 这 仅 是 为 了 说 明 不 应 该 将 它们 同 计算 机 安全 中 
常用 的 自主 /强制 访问 控制 的 定义 相 混淆 。 在 计算 机 安全 中 ， 这 些 术语 指 的 是 橘 皮 书 (美国 国防 
部 ，1985 ) 中 所 规定 的 特定 的 安全 策略 。 再 次 申明 ， 必 须 小 心 直 觉 导致 错误 。 


4.5 访问 控制 结构 


下 面 ， 必 须 申 明 人 允许 哪些 访问 操作 。 当 面 对 两 个 竞争 需求 的 时 候 ， 我 们 为 取得 安全 策略 必须 
立即 选 定 使 用 的 结构 。 

。 访问 控制 结构 有 助 于 表达 你 想 要 的 访问 控制 策略 。 

。 你 应 该 能 够 核实 你 的 策略 已 被 正确 取得 。 


4.5.1 访问 控制 矩阵 


基本 上 ， 访 问 权 限 可 以 用 访问 控制 矩阵 ( 表 ) 为 每 个 主体 和 对 象 的 组 合 单独 定义 
M=(M,,) sesco, #1 Mo CA 

M,, 表 项 规定 了 主体 s 可 以 施加 于 对 象 o 上 的 访问 操作 的 集合 。 这 种 方法 追溯 到 计算 机 安全 
的 早期 (Lampson，1974) 。 访 问 控 制 矩 阵 也 被 称 为 访问 许可 短 阵 (access permission matrices ) 。 
Bell- LaPadual 模型 使 用 访问 控制 抢 阵 建立 橘 皮 书 (参见 8.2 节 ) 中 的 自主 访问 控制 策略 模型 。 图 
4-5 给 出 了 一 个 具有 两 个 用 户 和 三 个 文件 的 访问 控制 矩阵 的 简单 例子 。 

© bill. doc 可 以 被 Bil 读 和 写 ， 但 完全 不 允许 Alice 访问 。 

© edit. exe FJ LAE Bill 和 Alice 执行 ， 但 除 此 以 外 他 们 不 能 访问 。 

o fun. com 可 以 被 两 个 用 户 读 和 执行 ; 只 有 Bill 能 够 写 这 个 文件 。 

访问 控制 矩阵 是 一 个 抽象 的 概念 ， 当 主体 和 对 象 的 数量 很 大 或 者 主体 和 对 象 的 集合 频繁 改 
变 时 ， 不 太 适 合 于 直接 执行 。 在 这 些 情况 下 ， 采 用 中 间 控 制 层 是 较为 可 取 的 。 


| bill.doc edit.exe | fun.com 一 | 
Alice - {执行 } Litt, be} 
Bi | 1 读 , 写 } {执行 } | {执行 , 读 , 写 } | 

















图 4-5 访问 控制 矩阵 


4.5.2 能 力 


你 几乎 不 会 直接 访问 控制 矩阵 。 访 问 权 限 可 以 和 主体 保存 在 一 起 ， 也 可 以 和 对 象 保存 在 一 
起 ， 这 之 间 有 一 个 选择 。 在 第 一 种 情况 下 ， 每 个 主体 被 赋予 一 个 能 力 (capability ) ， 这 是 一 个 说 
明 主 体 访问 权限 的 不 可 更 改 的 令 牌 。 这 个 能 力 对 应 于 访问 控制 矩阵 中 的 主体 行 。 我 们 前 一 个 例 
子 作为 能 力 给 出 的 访问 权限 如 下 。 





we fe] HE He] 35 





Alice 的 能 力 : edit. exe: 执行 ; fun. com: 执行 ， 读 。 

Bill 的 能 力 : bill. doc: 读 ， 写 ; edit exe: 执行 ;fun. com: 执行 ， 读 ， 写 

典型 地 ， 能 力 是 同 自主 访问 控制 相 联系 的 。 当 主体 创建 新 的 对 象 时 ， 它 可 以 通过 授予 其 他 主 
体 合适 的 能 力 来 允许 它们 访问 这 个 对 象 。 同 样 当 一 个 主体 (进程 ) 调 用 另 一 个 主体 时 它 可 以 将 它 
的 能 力 ， 或 者 它 的 部 分 能 力 传递 给 被 调用 的 主体 。 

能 力 绝 不 是 一 个 新 的 概念 ,但 是 到 由 前 为 止 ， 能力 还 没有 成 为 一 个 广泛 使 用 的 安全 机 制 ， 这 
主要 与 安全 管理 的 复杂 性 以 及 操作 系统 面向 管理 对 象 的 传统 定位 有 关 。 

e。 对 于 谁 可 以 被 获准 访问 给 定 的 对 象 难以 得 到 全 面 的 理解 。 

。 很 难 撤销 能 力 ， 或 者 是 操作 系统 必须 被 授予 这 个 任务 ,或 者 是 用 户 必须 清楚 他 们 已 经 传 

递 的 所 有 人 能力。 当 能 力 中 的 权限 包括 向 第 三 方 传递 该 能 力 时 ， 这 个 问题 尤其 棘手 。 

然而 ， 分 布 式 系统 的 出 现 重 新 激 起 人 们 对 基于 能 力 的 访问 控制 的 兴趣 ， 在 分 布 式 环境 中 安 
全 策略 必须 处 理 在 计算 机 网 络 的 节点 进行 物理 的 或 虚拟 的 漫游 的 用 户 。 

当 决 定 使 用 能 力 时 ， 还 必须 考虑 对 它们 的 保护 。 将 能 力 存放 在 什么 地 方 ? 如 果 能 力 仅 在 一 个 
单独 的 计算 机 系统 中 使 用 ， 那 么 仅 依靠 操作 系统 的 完整 性 保护 (参见 第 5 章 ) 就 可 以 了 。 当 能 力 
在 网 络 中 传播 时 ， 你 还 需要 加 密 保护 (参见 第 11 章 ) 。. 


4.5.3 访问 控制 列表 


访问 控制 列表 (ACL) 将 对 象 的 访问 权限 同 对 象 本 身 存放 在 一 起 ， 因 此 ,一 个 ACL 对 应 了 访 
问 控制 矩阵 中 的 一 列 ， 并 声明 了 谁 可 以 访问 一 个 给 定 的 对 象 。ACL 是 商业 操作 系统 的 一 个 典型 
特征 。 我 们 前 一 个 例子 中 的 访问 权限 用 ACL 的 形式 可 表示 如 下 。 

bill. doc 的 ACL Bill; 读 ， 写 

edit. exe 的 ACL Alice: 执行 ; Bill: 执行 

fun. com 的 ACL Alice; #477, HE; Bill: 执行 ， 读 ， 写 。 

访问 权限 的 管理 依靠 单个 主体 是 相当 麻烦 的 ， 因 此 通常 将 用 户 置 于 组 中 ， 并 也 可 以 从 用 户 
组 取得 访问 权限 。Unix 访问 控制 模型 是 基于 简单 的 访问 控制 列表 的 ， 每 个 访问 控制 列表 均 有 三 
个 条 目 用 于 分 派 访问 权限 给 用 户 、 组 和 其 他 主角 (6.5 节 )。 

对 于 配合 对 象 访问 管理 的 操作 系统 来 是 说 ，ACL 是 一 个 合适 的 概念 。 但 是 ， 如 果 想 总 的 了 
解 个 别 用 户 有 哪些 许可 ， 比 如 要 取消 某 个 用 户 的 许可 ， 需 要 费力 地 搜索 所 有 的 ACL. 

不 管 你 如 何 实现 访问 控制 矩阵 ， 在 大 型 的 系统 中 ， 管 理 用 这 种 抢 阵 表示 的 安全 策略 是 一 项 
复杂 的 任务 。 尤 其 是 ， 要 确保 矩阵 中 每 一 项 均 正 确 地 表示 了 我 们 的 意愿 是 相当 繁琐 并 容易 出 错 
的 。 另 外 ， 仅 依靠 主体 和 对 象 的 访问 控制 只 支持 相当 有 限 的 安全 策略 。 更 多 的 信息 可 以 参考 主体 
用 来 访问 对 象 的 程序 ， 这 些 信 息 可 以 被 恰当 地 包含 进 访问 控制 策略 中 。 这 完全 不 是 一 个 新 的 思 
想 ， 可 以 从 以 下 对 Titan 操作 系统 的 访问 控制 所 作 的 评论 看 到 这 一 点 。 该 操作 系统 是 牛津 大 学 于 
20 世纪 60 年 代 早 期 开发 的 (Needham，1992 ) 。 


特别 要 提出 的 是 ， 可 以 一 同 使 用 程序 标识 和 用 户 标 识 ， 甚 至 用 程序 标识 替代 用 户 标识 

作为 访问 控制 决策 的 一 个 参数 ， 这 是 牛津 的 人 们 一 直 以 来 觉得 不 可 思议 而 没有 采用 的 

特性 。 

经 验 教训 

不 要 认为 新 技术 必然 引起 新 的 安全 问题 ,“ 新 ”问题 时 常 是 老 问题 的 化 身 ， 而 它们 的 解决 原 
则 都 是 已 知 的 。 
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4.6 中 间 控 制 


在 计算 机 科学 中 ， 有 关 复 杂 性 的 问题 都 被 间接 地 解决 了 (David Wheeler) 。 同 样 ， 这 也 可 以 
用 于 访问 控制 。 在 用 户 和 目标 之 间 我 们 引入 了 中 间 层 ， 以 一 种 更 易 管 理 方式 来 表示 这 种 策略 。 


4.6.1 组 和 否定 的 许可 


接 下 来 的 讨论 将 围绕 一 个 简单 的 例子 展开 。 假 如 Alice 和 Bill 是 学 习 某 门 课程 的 两 个 学 生 。 
老师 想 让 这 些 学 生 访问 课程 资料 。 老 师 不 是 把 所 有 的 学 生 单独 地 放 进 每 页 课程 资料 的 访问 控制 
列表 ， 而 是 把 所 有 的 学 生 放 人 一 组 ， 再 把 这 个 组 放 人 各 自 的 访问 控制 列表 。 

因此 ， 组 是 作为 一 种 简化 访问 控制 策略 定义 的 方法 。 具 有 相同 访问 权限 的 用 户 被 集合 成 组 ， 
然后 再 给 授予 访问 对 象 的 许可 。 一 些 安全 策略 要 求 用 户 只 能 是 一 个 组 的 成 员 ， 其 他 安全 策略 则 
允许 用 户 是 多 个 组 的 成 员 。 

图 4-6 显示 了 一 种 理想 状况 ， 所 有 的 访问 许可 都 可 以 间接 通过 组 成 员 来 实现 。 通 常 ， 安 全 策 
略 有 一 些 特 殊 的 场合 。 在 这 些 特殊 的 场合 中 ， 直 接 赋予 某 些 主体 访问 一 个 对 象 的 许可 ， 或 者 否认 
一 个 主体 从 它 的 组 成 员 关 系 中 获得 的 许可 是 较为 方便 的 。 否 定 的 许可 (negative permission) 就 是 
访问 控制 结构 中 的 一 个 表 项 ， 它 规定 了 主体 不 允许 执行 的 访问 操作 。 图 4-7 中 ,用 户 不 允许 
访问 对 象  ， 而 用 户 u, 被 准许 访问 对 象 0;。 





4-6 ”作为 一 个 中 间 的 访问 控制 列表 的 组 服务 


图 4-7 带 有 和 否定 许可 的 访问 控制 


给 用 户 u 的 否定 许可 与 给 予 组 8 的 肯定 许可 相 矛 盾 是 策略 冲突 (policy conflict) 的 一 个 例 
子 。 当 详细 说 明 一 种 策略 时 ， 你 必须 要 知道 怎样 用 一 个 引用 监控 器 解决 冲突 。 如 果 策 略 是 用 访问 
控制 表 定 义 的 ， 一 个 简单 但 是 广泛 使 用 的 算法 就 是 处 理 列 表 直 到 与 找到 访问 要 求 里 给 出 的 主体 
相符 合 的 第 一 个 条 目 ， 依 据 第 一 个 条 目 做 决策 。 在 列表 后 面 的 任何 有 冲突 的 表 项 都 将 被 忽略 。 


4.6.2 特权 
将 注意 力 转 到 操作 上 ， 可 以 收集 权限 以 执行 某 些 特权 操作 。 典 型 地 ， 特 权 和 操作 系统 功能 相 
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联系 ， 并 且 涉 及 像 管理 系统 管理 、 文 件 备份 、 邮 件 访问 或 网 络 访问 等 行为 。 你 可 以 将 特权 视 作 主 
体 和 操作 之 间 的 一 个 中 间 层 (图 4-8)。 





图 4-8 特权 作为 主体 和 操作 之 间 的 中 间 层 


4. 6.3 基于 角色 的 访问 控制 


特权 通常 是 和 操作 系统 一 起 预先 确定 的 。 一 组 特定 应 用 的 操作 (过 程 ) 称 为 角色 ， 主 体 从 它 
. 们 履行 的 角色 上 获得 访问 权限 。 基 于 角色 的 访问 控制 (Role- based access control, RBAC) 将 主要 
关注 用 户 和 用 户 执行 的 任务 上 。 

主体 和 对 象 之 间 的 中 间 层 有 助 于 减少 访问 控制 管理 的 复杂 性 。 中 间 层 可 被 插入 到 多 个 位 置 

上 ， 这 样 你 可 以 使 用 多 个 层次 来 构造 访问 控制 。 可 选 的 选择 的 层次 包括 以 下 几 种 。 
。 角色 : 一 个 角色 就 是 一 组 过 程 ， 角 色 被 分 配给 用 户 。 一 个 用 户 可 以 有 多 个 角色 ， 多 个 用 户 
也 可 以 有 相同 的 角色 (Sandhu et al , 1996). 
。 Y: 过 程 是 语意 比 读 或 写 更 复杂 的 高 层 访问 控制 方法 。 过 程 只 能 被 应 用 于 某 些 数据 类 
型 的 对 象 上 。 典 型 实例 可 参看 银行 账户 之 间 的 资金 转移 。 
READ: 每 个 对 象 均 属于 一 种 特定 的 数据 类 型 ， 只 能 通过 为 该 数据 类 型 定义 的 过 程 来 
访问 。 通 过 限制 可 以 访问 对 象 的 过 程 来 控制 对 对 象 访问 是 一 种 常见 的 程序 设计 惯例 。 这 是 
抽象 数据 类 型 理论 的 一 个 基本 概念 。 
在 4.6.1 节 的 例子 中 ， 老 师 可 以 为 学 生 课 程 创建 一 个 角色 Student， 并 为 这 个 角色 指定 读 课 
程 材料 的 特权 。 

尽管 这 种 结构 化 的 访问 控制 是 许多 应 用 非常 希望 的 ， 但 是 许多 操作 系统 还 不 支持 它 。 突 出 
的 例子 是 IBM 的 AS/400 操作 系统 ( Park, 1995) 和 Windows 2000( 参 见 第 7 章 ) 中 的 全 局 组 和 本 
地 组 。RBAC 更 常见 于 数据 库 管理 系统 中 。 


4.6.4 保护 环 


保护 环 是 用 于 说 明 主体 和 对 象 之 间 中 间 层 的 一 个 特别 简单 的 例子 。 每 个 主体 (进程 ) 和 每 个 
对 象 均 依 照 “ 重 要 性 "被 赋予 一 个 数字 ， 在 一 个 典型 的 例子 中 ， 这 些 数 字 可 能 是 0，1，2 和 3。 进 
程 按照 以 下 规则 获得 他 们 的 数字 : 

0 一 操作 系统 内 核 

1 一 操作 系统 

2 一 实用 程序 

3 一 用 户 进程 

通过 比较 主体 与 对 象 的 数字 进行 访问 控制 决策 。( 决 策 的 结果 依赖 
于 你 使 用 保护 环 想 要 执行 的 安全 策略 ) 。 这 些 数字 对 应 同心 保护 环 (pro- 
tection ring) ， 其 中 环 0 位 于 中 心 ， 提 供 最 高 级 别 的 保护 (图 4-9)。 如 果 图 4-9 保护 环 
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一 个 进程 赋予 了 数字 i， 那 么 我 们 说 进程 “运行 在 环卫。 

保护 环 主要 被 用 于 完整 性 保护 。 保 护 环 已 经 被 用 于 Multics 操作 系统 ， 并 且 开 发 了 特殊 的 硬件 
来 支持 这 种 安全 机 制 (Scjroeder and Saltzer, 1972), Intel 80x86 系列 微 处 理 器 在 机 器 语言 级 提供 了 
类 似 的 特性 。Unix 使 用 了 2 个 级 别 ， 根 和 操作 系统 运行 在 环 0， 用 户 进 程 运行 在 环 3。QNXANeutri- 
no 微 内 核 的 系统 /用 户 保 护 是 说 明 这 种 保护 机 制 的 男 一 个 例子 ， 它 按 如 下 方式 给 软件 组 件 赋予 保 
护 环 : 

© Neutrino 微 内 核 运 行 在 环 0。 

o Neutrino 进程 管理 运行 在 环 1。 

。 其 他 所 有 程序 运行 在 环 3。 

包含 敏感 数据 (如 操作 系统 代码 ) 的 存储 位 置 只 能 被 运行 在 环 0 或 环 1 的 进程 访问 ，5. 3.5 节 
是 基于 保护 环 的 一 个 典型 策略 。 我 们 可 以 从 Organick( 1972, 9 4%) Hl Pfleeger and Lawrence 
Pfleeger(2003, 7.2 节 ) 找 到 更 多 的 例子 . 


4.7 偏 序 


借助 保护 环 ， 我们 把 比较 引入 了 安全 策略 的 评价 。 保 护 环 是 是 可 以 决定 任意 两 个 环 i 和 坏 j 
谁 在 最 里 面 的 一 个 简单 例子 。 通 常情 况 下 ， 这 不 需要 如 此 。 将 4. 6. 1 节 的 例子 扩展 开 来 ， 可 以 得 
到 以 下 一 个 实例 。 学 校 的 系 为 一 年 级 学 生 创建 了 Year-1 组 来 对 专用 于 他 们 的 资源 的 访问 管理 ， 
也 为 二 年 级 学 生 创建 了 Year-2 组 ， 为 三 年 级 学 生 创建 了 Year-3 组 等 。 一 年 级 学 生 组 包含 在 所 有 
的 学 生 组 中 ， 但 是 Year-1 组 和 Year-2 组 没有 这 样 的 关系 。 我 们 力求 的 最 好 的 就 是 一 个 偏 序 (par- 


tial order) 。 


定义 ”集合 (安全 级 别 )L 上 的 一 个 偏 序 所 (“小 于 或 等 于 ”) 是 LxL 上 的 一 个 关系 ， 
CH: 

e 自 反 : HFRAMaEL, axa KZ, 

e 传递 对 于 所 有 的 a,，b,，ceL， 如 果 a<<b 且 b<c， MAak<c, 

e。 反 对称 ; 对 于 所 有 a, beL, asb Absa, 那么 a=b。 


如 果 两 个 元 素 a, 5 e 工 是 不 可 比 的 我 们 记 为 a b, 

偏 序 的 典型 例子 如 下 : 

。(P(ZY) ，SE)，X 的 寡 集 中 子 集 的 关系 是 一 个 偏 序 。 

。(N，| ) ， 自 然 数 中 的 除 关 系 偏 序 。 

。 字 母 表 并 上 的 串 字 符 串 的 前 缀 关系 是 一 个 偏 译 。 如 果 存 在 一 个 字符 串 y 使 得 a =By， 那 么 
我 们 就 说 一 个 字符 串 B 是 字符 串 a 的 前 级 。 在 这 种 情况 下 我 们 记 作 B<a。 

哈 斯 图 是 偏 序 集 的 图 示 ， 哈 斯 图 是 一 个 有 向 图 ， 








其 节点 就 是 集合 的 元 素 。 图 的 边 给 出 了 偏 序 的 一 个 “ 框 / nN 
an” | WBE, Ma, beL, 我 们 置 一 条 a 到 上 b HH, a | Na 
“AW: a, a,c >Cc 
sasbHa#b, H X x 
e 不 存在 ceL， Alhasc<b Hac, b#b, {a} {b} {c} 
有 了 这 种 约定 ， 当 且 仅 当 有 一 条 a 到 4b 的 路 径 时 ， NIZ 


asb 才 成 立 。 图 中 的 边 全 部 连 向 上 面 的 节点 。 偏 序 集 0 
A( (Pla, b,c| )，C ) 的 哈 斯 图 在 如 图 4-10。 图 4-10 偏 序 ( 格 )((Ple, b, cl), C) 
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4.7.1 VSTa 微 内 核 中 的 能 力 


VSTa 微 内 核 的 能 力 很 好 地 表现 了 偏 序 的 作用 。 因 
为 它们 不 完全 是 第 4.5.2 节 中 定义 的 能 力 ， 所 以 我 们 使 用 ability 来 表示 。 一 个 ability 就 是 一 个 正 
整数 中 的 有 限 的 串 。 为 了 表示 一 个 新 的 整数 开始 ， 我 们 在 每 个 整数 的 开始 前 置 一 个 点 。 因 此 ， 一 
个 abillity REÆ— SR i beeni APh, ven , i, 是 整数 。 序 列 的 长 度 n 没有 限制 ， 事 实 上 na 可 
以 等 于 0，ability 的 例子 有 .1.2.3.4, 或 .10.0.0.5。 

通过 前 缀 关系 排序 的 ability 的 顺序 构成 了 一 个 偏 序 ， 在 我 们 当前 的 例子 中 ， 系 将 ability 
. 3. 1. 101 分 派 给 CS101 课程 的 学 生 组 。CS101 的 课程 资料 将 再 次 被 标记 为 ability . 3. 1. 101 ,一 年 
级 的 全 部 资料 标记 为 . 3. 1， 二 年 级 的 全 部 资料 标记 为 . 3.2，. 3 被 用 作 所 有 资料 的 所 有 学 生 资 料 
的 标记 。 这 些 ability 被 .3 大 .3. 1<. 3. 1. 101 联系 在 一 起 ， 但 是 .3.1. 83.2, 

基于 当 对 象 标签 是 主体 标签 前 缀 时 的 授权 访问 的 策略 ，CS101 学 生 将 能 够 访问 他 们 自己 的 课 
程 资料 、 一 年 级 的 资料 和 学 生 的 总 体 资料 。 

暂且 来 思考 一 下 以 上 策略 的 双重 性 。 如 果 主 体 的 ability 是 对 象 ability 的 前 级 ， 就 可 允许 访 
问 。 假 如 这 样 的 话 ， 因 为 空 串 e 是 任何 ability 的 前 级 ，ability“.” 即 一 个 后 看 不 带 整数 的 点 ， 就 
定义 了 一 个 可 以 访问 所 有 对 象 的 超级 用 户 。 因 此 不 用 给 主体 赋予 ability ， 就 可 以 准许 它 访 问 所 有 
的 对 象 。 l 

经 验 教 训 

访问 控制 算法 比较 主体 和 对 象 的 属性 。 一 定 要 检查 一 下 如 果 某 些 属性 缺失 会 怎么 样 。 故 障 
安全 行为 要 求 拒绝 访问 。 但 通常 情况 下 不 是 这 样 的 ， 你 会 觉得 非常 吃惊 和 不 快 。 


4.7.2 安全 级 别 的 格 


返回 到 例子 中 的 最 初 策略 ， 如 果 有 一 个 有 两 组 学 生 可 以 访问 的 对 象 ， 系 就 应 该 采用 分 给 两 
组 的 最 长 的 公用 的 前 缀 来 给 文件 做 标记 。 例 如 ， 如 果 Year .1 和 Year _2 能 够 访问 文件 ， 则 aility 
.3 就 可 以 被 用 作 标 鉴 。 另 一 方面 ， 如 果 有 标识 着 . 3, 1 和 . 3. 2 的 两 个 对 象 ， 我 们 想 给 能 够 同时 访 
问 两 者 的 主体 一 个 标 鉴 ， 这 在 当前 的 系统 中 还 无 法 实现 。 

通常 ， 给 定 标准 的 机 密 性 策略 ， 仅 当主 体 的 安全 级 别 高 于 对 象 的 安全 级 别 时 ， 这 个 主体 才 可 
以 查看 这 个 对 象 ， 对 以 下 两 个 问题 我 们 希望 有 唯一 的 答案 : 

。 给 定 两 个 不 同安 全 级 别 的 对 象 ， 主 体 至 少 具有 什么 样 的 安全 级 别 才 能 允许 读 这 两 个 对 象 ? 

。 给 定 两 个 不 同安 全 级 别 的 主体 ， 为 使 一 个 对 象 能 够 被 两 个 主体 查看 ， 该 对 象 能 够 拥有 的 

最 高 安全 级 别 是 多 少 ? 

能 让 我 们 回答 这 两 个 问题 的 数学 结构 已 经 存在 ， 称 为 格 。 格 的 规范 定义 如 下 。 


定义 格 (L， 志 ) 由 集合 工 和 偏 序 三 组 成 ， 对 于 任意 两 个 元 素 a，b E 工 ， 存 在 一 个 最 小 
上 界 weL 和 一 个 最 大 下 界 1eL， 也 就 是 说 ;: 

agu, bgu, #HVveEL: (asxvAb<v)>(usv), 

lsa, I<b, 并 EE Vkel: (Kg<aM\k<b)=(ks)), 


在 安全 中 ， 如 果 a<b， 我 们 说 “a 受 控 于 b” 或 者 “b 控制 a”。 受 控 于 所 有 其 他 级 别 的 安全 级 
别称 为 系统 低 ( System Low) ， 控 制 所 有 其 他 级 别 的 安全 级 别称 为 系统 高 (System High). PM, Æ 
图 4-10 中 的 偏 序 集 合 (P( 1a,，5，c| ) ，C ) 是 一 个 格 ， 系 统 低 时 集合 为 空 集 书 ， 系 统 高 时 为 集合 
la, b, ch, 

无 论 何 时 遇见 一 个 安全 描述 符 以 某 种 方式 比较 的 安全 系统 ， 如 在 上 述 例 中 的 情况 下 一 样 ， 
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你 会 发 现 如 果 这 些 描述 符 能 形成 一 个 格 的 话 ， 将 会 很 方便 的 。 领 会 计算 机 安全 的 基本 内 容 并 不 
一 顶 要 弄 懂 格 。 不 过 ， 在 阅读 了 该 课题 的 许多 文献 后 却 有 助 于 理解 格 。 


4.7.3 多 级 安全 


保护 机 密 情 报 的 需求 推动 了 20 世纪 七 八 十 年 代 安全 性 研究 。 在 这 个 领域 ,已 经 有 了 管理 对 
保密 文件 物理 访问 的 规则 。 机 密 文 件 被 指定 了 安全 级 别 (Security 


level) ,一 个 用 户 的 许可 表明 了 该 用 户 可 以 访问 哪些 文件 。 强 制 访问 控 a 
制 (MAC) 策 略 和 橘 皮 书 的 多 级 安全 (multilevel security) 策略 采用 了 安 秘密 的 和 
全 级 别 ， 并 将 其 应 用 到 IT 系统 中 。 在 早期 的 大 多 数 版 本 中 ， 这 些 策略 | 

指 的 是 四 个 线性 排序 的 安全 级 别 ,，“ 非 机 密 的 ”(unclassified) | “HLH 
的 ”(confidential) 、“ 秘 密 的 ”(secret) 和 “绝密 的 ”(top secret 图 4-11)。 非 机 窗 的 


如 果 这 种 线性 排序 的 安全 级 别 ， 你 只 能 表达 一 组 有 限 的 安全 策略 。 图 4-11 在 线性 顺序 中 
例如 ， 不 能 限制 与 秘密 工程 相关 的 文件 的 访问 权限 ， 使 得 只 有 在 关中 的 安全 级 别 
工作 的 人 员 才 有 权 访 问 。 任 何 秘密 (secret) 级 别 上 的 人 都 应 有 权 访 问 。 

为 了 能 够 说 明 这 种 控制 对 特定 工程 的 资源 的 访问 的 需要 知道 (need- to-know) 策 略 ， 我 们 引入 了 以 
下 安全 级 别 上 的 格 : 

e 令 也 为 一 个 分 类 的 集合 ， 其 等 级 (线性 ) 排 序 为 三 五 。 

oS C 为 一 个 种 类 集合 ， 如 工程 名 字 、 公 司 名 字 、 学 院 的 系 等 。 一 个 间隔 就 是 一 个 种 类 集 。 

。 一 个 安全 标签 (安全 级 别 就 是 一 个 二 元 组 (h，c) ， 其 中 he HH 是 一 个 安全 级 别 ,， 而 cECC 是 

一 个 间隔 。 

。 一 个 安全 标签 的 偏 序 生 定义 为 ; ( 户 ，c) S, Oo), SAMBA, <H He, Sc, 

图 4-12 说 明了 这 种 结构 。 有 两 个 等 级 级 别 public 和 private， 两 个 种 类 personnel(PER ) 和 en- 
gineering( ENG) 。 在 产生 的 格 中 ， 以 下 关系 成 立 : 

(public, {PER} ) = (private, {PER} ) ， 

(public, {PER} ) <(public, |PER, ENG} ), 

(public, {PER} ) <(private, | ENG |} ) ， 

有 了 这 个 安全 标签 的 格 ， 你 就 能 实现 强制 性 的 需要 知道 (最 小 特权 ) 策 略 。 为 了 说 明 这 一 点 ， 
按照 上 面 提 到 的 简单 机 密 性 策略 ,分析 图 4-12 的 格 。 具 有 安全 标签 (private，{ ENG | ) 的 主体 将 
不 能 够 读 任何 在 其 标签 的 间隔 中 有 种 类 为 PER 的 对 象 。 因 此 ， 即 使 标记 为 《public，{ PER, 


ENG} ) 的 对 象 也 不 能 读 。 
private,{PER,ENG} 


private,{PER} private, {ENG} 
private,@ 
ublic, {PER,ENG)} 
public,{PER} public, {ENG} 
public,g 


图 4-12 安全 标签 的 格 
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我 们 从 图 4-11 中 简单 的 等 级 格 来 开始 安全 格 的 讨论 ， 等 级 格 在 政府 部 门 的 多 级 安全 策略 中 
是 很 典型 的 ， 并 且 这 样 的 系统 已 经 补 构 造 出 来 以 非常 高 的 安全 度 执行 。 RH 
这 些 策略 ， 然 后 我 们 加 入 了 间隔 来 表示 种 类 更 多 的 策略 。 今 天 , 可 看 ni Xa 
到 多 级 安全 系统 的 应 用 ， 因 为 这 种 系统 安全 度 高 ， 但 它 在 安全 级 别 中 seek 
没有 等 级 成 分 。 比 如 ，-- 种 防火 墙 方法 可 以 使 用 图 4-13 ARSE | 杀 统 低 
和 外 部 的 严格 隔离 。 ma MERANA 


4.8 深层 阅读 

Denning( 1982) . Amoroso( 1994) 和 Pfleeger and Lawrence Pfleeger( 2003) 都 谈 及 过 基本 的 访 
问 控制 结构 和 安全 格 。Lampson(1974) 和 Saltzer( 1974) 的 论文 是 早期 较 有 影响 的 访问 控制 (保护 ) 
方面 的 论文 。Wilkes( 1968) 较 详细 地 介绍 了 20 世纪 60 年 代 开 发 的 操作 系统 的 访问 控制 。 更 多 的 
关于 保护 环 安全 的 策略 的 例子 可 参看 Nelson( 1998) 和 Lawrence Pfleeger(2003) 的 著作 。 基 于 角色 
的 访问 控制 (RBAC ) 的 最 新 调查 发 表 在 Sandhu(1996) 等 人 的 著作 中 。Sandhu( 1993 ) 的 著作 中 可 


以 找到 更 多 有 关 基 于 格 的 访问 控制 模型 的 信息 ， 以 及 如 何 使 用 它们 来 处 理 机 密 性 和 完整 性 问题 
的 描述 。 


4.9 练习 


练习 4.1 给 定 两 个 比特 位 来 控制 在 一 个 目录 上 的 访问 操作 ， 怎 样 才能 使 拥有 4 种 操作 ? E 
样 控制 文件 的 创建 与 删除 ? 怎样 用 这 些 操作 来 实现 文件 的 隐藏 ? (隐藏 文 件 仅 授权 主体 可 见 ) 

练习 4.2 考虑 一 个 有 读 、 写 、 授 权 和 撤销 的 系统 。 用 授权 命令 不 仅 可 以 授予 其 他 主体 读 和 
写 的 访问 ， 也 可 以 授权 它们 访问 你 所 拥有 的 对 象 的 权利 。 用 哪 种 数据 结构 和 算法 来 实现 授权 和 
撤销 操作 ， 以 便 你 能 撤销 你 所 属 的 某 个 对 象 所 有 的 访问 ? 

练习 4.3 讨论 : 组 和 角色 的 不 同 点 是 什么 ， 它 们 是 否 有 本 质 的 区 别 ? 

练习 4.4 解释 4.7.1 节 定义 的 ability 的 偏 序 不 能 构成 一 个 格 的 原因 。 试 着 把 更 多 的 要 素 加 
和 ability 组 中 以 使 偏 序 转化 为 格 。 


练习 4. 5 给 定 一 个 当 且 仅 当 主体 的 安全 级 别 控制 对 象 的 安全 级 别 时 ， 主 SĒN 

体 才能 访问 对 象 的 安全 策略 。 在 这 种 策略 下 ， 用 下 图 所 示 的 格 可 以 得 到 什么 Lo u No 

5 | NZ 
练习 4. 6 设 (L，<) 是 一 个 安全 级 别 的 格 ， 其 中 工 是 一 个 有 限 集合 。 试 guest 


说 明 系 统 低 和 系统 高 的 单元 系统 一 定 存在 于 这 个 格 中 。 

练习 4.7 给 安全 级 别 是 public, confidential 和 strictly confidential ， 以 及 种 类 是 ADMIN, 
LECTURERS 和 STUDENTS 构造 一 个 安全 标签 的 格 。 在 需要 知道 的 策略 中 ， 哪 些 对 象 对 安全 标 
签 为 (confidential ，{ STUDENTS} ) 的 主体 是 可 见 的 ? n 个 安全 级 别 和 m 个 分 类 可 以 创建 多 少 个 标 
签 ? 为 了 方便 说 明 ， 可 假定 n=16, m=64, 

练习 4.8 给 定 一 个 用 间隔 的 格 作为 安全 标签 的 安全 策略 。 当 且 仅 当 主体 的 安全 标签 是 对 象 
安全 标签 的 子 集 时 才能 授权 访问 。 假 设 有 ADMIN, LECTUREERS, STUDENT 这 几 个 类 ， 标 签 
为 {STUDENTS | 的 主体 能 访问 以 上 哪 几 个 对 象 ? 为 什么 标签 为 {ADM，STUDENTS| 的 主体 比 标 
439 | STUDENTS} 有 更 多 的 限制 ? 解释 在 这 个 策略 中 标签 为 和 {ADMIN,，LECTURERS，STU- 
DENTS} 的 角色 的 意思 。 

练习 4.9 给 定 一 组 类 集 ， 实 现 基于 格 的 需要 停止 (need-to-withhold) 策 略 ， 该 策略 可 以 有 选 
择 地 从 主体 收回 访问 权限 。 





第 5 章 引用 监控 器 


上 一 章 介 绍 的 一 些 基 本 概念 对 设置 访问 控制 策略 非常 有 用 。 现 在 我 们 讨论 如 何 实施 上 述 策 
略 。 在 后 续 章 节 中 ， 对 策略 描述 和 访问 控制 系统 将 有 更 多 的 详细 介绍 。 本 章 给 出 用 以 保护 操作 系 
统 完 整 性 和 存储 器 访问 控制 的 核心 机 制 ， 重 点 关注 基于 分 层 系 统 构架 底层 的 访问 控制 ， 同 时 给 
出 设计 安全 系统 的 经 验 教 训 。 

目标 

。 给 出 访问 控制 的 基本 概念 ， 如 引用 监控 器 (reference monitor), 、 可 信 计 算 基 (Trusted Com- 

puting Base) 。 l 

e。 讨 论 影响 设计 引用 监控 器 的 要 素 。 

。 引入 状态 和 受 控 调用 ， 它 们 是 两 个 重要 的 安全 原 语 。 

。 理解 在 系统 底层 实现 安全 机 制 的 原因 ， 对 于 在 系统 底层 上 可 以 利用 的 安全 机 制 有 一 个 全 

面 了 解 。 


5.1 引言 


计算 机 安全 领域 有 三 个 基本 概念 ， 它 们 紧密 相关 但 容易 混淆 。 我 们 可 引用 橘 皮 书 (美国 国防 
部 ，1982) 中 的 词汇 表 为 其 定义 : 


引用 监控 句 ”这 是 一 个 访问 控制 概念 ， 指 所 有 主体 对 对 象 访问 进行 仲裁 的 抽象 机 器 。 
安全 内 核 ”可 信 计 算 基 由 硬件 、 固 件 、 软 件 组 成 ， 它 们 用 以 实现 引用 监控 器 。 安 全 内 核 
必须 处 理 所 有 的 访问 控制 ， 必 须 保护 安全 内 核 ， 使 之 不 被 修改 ， 并 能 够 证 明 是 正确 的 。 
可 信 计 算 机 基 (TCB) 计算 机 系统 中 全 部 的 保护 机 制 一 一 包括 硬件 、 固 件 、 软 件 ， 它 
们 结合 起 来 负责 实施 安全 策略 。 一 个 TCB 包含 一 个 或 多 个 组 件 ， 这 些 组 件 在 一 个 产品 
或 系统 中 实施 统一 的 安全 策略 。TCB 正确 实施 安全 策略 的 能 力 完全 取决 于 TCB 的 内 部 
机 制 ， 以 及 系统 管理 员 对 于 安全 策略 相关 参数 (如 用 户 清除 ) 的 正确 输入 。 


因此 ， 引 用 监控 器 仅 是 一 个 抽象 概念 ， 安 全 内 核 是 它 的 实现 ， 而 TCR 在 其 他 的 保护 机 制 中 
包含 了 安全 内 核 。Anderson(1972) 报 告 论述 了 引用 监控 器 实现 的 核心 要 求 。 

© 引用 验证 机 制 必须 能 防 渗透 (tamper proof) ° 

。 引用 验证 机 制 必须 总 能 被 调用 。? 

。 引用 验证 机 制 必须 尽 可 能 小 ， 能 被 分 析 和 验证 是 正确 的 。 

Anderson 研究 报告 很 大 程度 上 曲解 了 对 引用 监控 器 和 安全 内 核 的 理解 。 这 份 报告 指出 ， 安 
全 内 核 包 括 引用 验证 机 制 的 实现 、 对 系统 自身 的 访问 控制 ， 以 及 组 成 管理 用 户 和 程序 的 安全 属 
性 组 件 。 图 2-3 是 安全 内 核 在 系统 底层 的 实现 的 有 力 说 明 。 相反 ， 有 了 时 你 会 发 现 安全 内 核 代表 底 
层 的 安全 机 制 。 





OQ Ms, BHA KA (tamper resistant) 已 经 取代 了 防 渗透 (tamper proof) ， 以 便 不 会 让 人 产生 安全 组 件 牢 不 可 破 
的 误解 。 
全 ”这 个 要 求 即 是 为 众人 所 知 的 完整 调解 (complete mediation) 。 
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5.1.1 部 署 引用 监控 器 


原则 上 ， 引 用 监控 器 可 以 放置 在 分 层 系统 的 任何 地 方 ; 实际 上 ， 所 有 可 能 设计 的 例子 都 能 在 
应 用 中 找到 原型 。 

© 硬件 级 : 基于 微 处 理 器 的 访问 控制 机 制 将 在 5. 3 节 讨 论 。 

。 操作 系统 内 核 级 ; 超级 监视 者 (hypervisor ) 是 一 个 虚拟 机 ， 它 能 精确 地 模拟 运行 在 其 上 的 
主机 。 通 过 提供 独立 的 虚拟 机 ， 它 能 用 于 区 分 出 不 同 用 户 与 应 用 程序 。Nexus 是 基于 微软 
NGSCB 架构 的 一 个 例子 (England et al. , 2003), 

。 操作 系统 级 : 第 6 章 和 第 7 章 分别 讨 论 了 UNIX 和 Windows 2000 的 访问 控制 。Multics 上 
的 引用 监控 器 将 在 8.3 节 讨 论 。 

e 服务 层 : 包含 Java 虚拟 机 、.Net 的 CLR (Common Language Runtime， 通 用 语言 运行 时 )、 
CORBA 的 中 间 件 架构 ， 以 及 数据 库 管理 系统 (第 17 章 )。 

。 应 用 程序 对 安全 需求 非常 了 解 的 程序 员 会 选择 在 应 用 程序 中 舱 人 安全 检查 代码 ， 而 不 
是 调用 底层 的 安全 服务 。 

我 们 可 以 根据 应 该 控制 的 “应 用 ”来 部 署 引 用 监控 器 。 系 统 底层 可 以 提供 引用 监控 器 ， 如 图 
5-1a 所 示 ， 这 是 操作 系统 典型 的 访问 控制 模式 。 应 用 程序 要 求 访问 受 保 护 资源 。 引 用 监控 器 是 
操作 系统 内 核 一 部 分 ， 它 要 处 理 所 有 访问 控制 。CORBA 中 的 访问 控制 与 此 类 似 。 

同样 ， 程 序 在 解释 器 中 和 运行。 解释 器 通过 程序 处 理 所 有 访问 控制 。 解 释 性 语言 Java 就 是 这 
种 方法 的 很 好 的 例子 ， 程 序 位 于 引用 监控 器 内 部 ， 如 图 5-1b 所 示 。 而 解释 器 处 理 所 有 访问 控制 。 

第 三 种 方式 便 是 通过 重 写 程序 来 舱 入 访问 控制 检查 。Erlingsson 和 Scheider(2000 年 ) 引 入 的 
内 联 引 用 监控 器 便 是 这 种 例子 。 如 今 ， 该 引用 监控 器 已 被 放 人 程序 内 部 (如 图 5-1c 所 示 )。 


监控 器 程序 
W = 程序 
ia Ea ERE 
| 4 mmm 
ne 
a) 内 核 中 的 监控 器 b) 解释 器 0) 内 联 监 控 器 


图 5-1 部 署 引 用 监控 器 


5.1.2 执行 监控 器 


引用 监控 器 通过 请 求 的 访问 信息 和 被 请 求 访 问 的 对 象 来 决定 访问 请 求 。 通 过 在 做 出 访问 决 
策 中 实际 使 用 的 信息 ， 我 们 便 能 区 分 不 同 的 引用 监控 器 ( Schneider, 2000) 。 
e 执行 监控 器 (execution monitor; Schneider，2000) 通 常 只 浏览 执行 步骤 的 历史 记录 ， 并 不 预测 未 
来 执行 的 结果 。 该 变量 在 操作 系统 中 通常 很 常见 ， 并 只 保留 执行 中 有 限 ( 少 量 ) 历 史 信息 。 
e 当做 出 仲裁 时 ， 引 用 监控 器 能 够 考虑 目标 所 有 的 执行 可 能 。 静 态 类 型 检查 ( Static type 
checking ) 便 是 这 种 例子 。 
. 。 引用 监控 器 通过 重 写 访问 对 象 来 确保 访问 请 求 符 合 安 全 规则 。 


5.2 操作 系统 完整 性 


现在 让 我 们 概括 地 确定 一 下 包含 在 安全 内 核 中 的 安全 机 制 。 假 设 操作 系统 能 够 实施 所 有 的 
访问 控制 策略 。 只 要 操作 系统 如 预期 的 那样 运行 ， 对 资源 的 非 授权 访问 就 不 可 能 进行 。 当 然 ， 这 
正 是 对 攻击 者 的 暗示 。 为 了 避 开 保护 机 制 ， 攻 击 者 可 能 试图 通过 修改 操作 系统 使 安全 控制 失效 。 
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现在 面临 的 将 不 仅 是 完整 性 问题 一 一 即使 当初 用 户 只 关心 机 密 性 。 操 作 系统 不 仅 是 访问 请 求 的 
裁定 者 ， 它 本 身 也 是 一 个 访问 控制 对 象 。 新 的 安全 策略 是 : 


用 户 一 定 不 能 修改 操作 系统 。 


这 是 一 个 通用 安全 策略 ， 应 当 得 到 大 力 、 有 效 支 持 。 但 更 艰巨 的 任务 是 ， 你 必须 处 理 以 下 两 
个 相互 冲突 的 要 求 : 

。 用 户 能 使 用 (调用 ) 操作 系统 。 

。 用 户 不 得 滥用 操作 系统 。 

通常 用 于 实现 这 些 目标 的 两 个 重要 概念 是 状态 信息 和 受 控 调用 (也 称 爱 限 特权 )。 这 些 概念 
可 被 用 于 计算 机 系统 的 任 一 层次 上 ， 不 管 是 应 用 软件 、 操 作 系统 还 是 硬件 。 但 是 再 次 强调 ， 如 果 
攻击 者 获得 较 低 层次 的 访问 ， 这 些 机 制 可 能 会 失去 作用 。 


5.2.1 操作 模式 


操作 系统 保护 自己 不 受用 户 破坏 的 第 一 个 前 提 条 件 是 能 够 区 分 代表 操作 系统 的 计算 和 代表 用 户 
的 计算 。 状 态 标志 (status flag ) 可 达到 这 一 要 求 ， 它 允许 系统 在 不 同 的 模式 工作 。 例 如 ，Intel 80x86 
有 两 个 状态 位 ， 支 持 四 种 模式 而 UNIX 操作 系统 能 够 识别 超级 用 户 ( 根 ) 模 式 与 用 户 模式 。 

为 什么 这 些 模 式 有 用 呢 ? 比如 ， 为 阻止 用 户 直 接 写 存储 器 、 破 坏 逻 辑 文件 结构 ， 操 作 系统 可 
以 仅 在 处 理 器 工作 于 超级 用 户 模式 时 准许 对 存储 位 置 进行 号 访问 。 


5.2.2 受 控 调用 


继续 我 们 的 例子 ， 用 户 想 执行 一 个 要 求 超级 用 户 模式 能 执行 的 操作 ， 如 写 存储 器 。 为 处 理 这 
个 请 求 ， 处 理 器 必须 转换 模式 ， 这 种 转换 应 当 如 何 执行 呢 ? 如 果 简 单 地 将 状态 位 改 到 超级 用 户 模 
式 ， 会 将 与 该 模式 相关 的 所 有 特权 都 赋予 该 用 户 ， 但 对 用 户 实际 做 些 什 么 却 没有 任何 控制 。 因 
此 ， 理 想 的 做 法 是 系统 在 超级 用 户 模式 只 执行 一 组 预先 定义 的 操作 ， 而 在 将 控制 交 回 给 用 户 前 
返回 用 户 模式 。 我 们 称 这 个 过 程 为 受 控 调用 。 


5.3 硬件 安全 特性 


在 我 们 的 并 系统 中 ， 硬 件 是 最 底层 的 ， 它 同时 是 计算 机 安全 与 物理 安全 相 联系 的 地 方 ， 自 
然 地 ， 硬 件 级 的 安全 机 制 自然 成 为 我 们 研究 的 起 点 。 本 节 将 通过 Intel 80386/486 和 Motorola 
68000 讨论 了 微 处 理 器 的 安全 特性 。 


5.3.1 安全 基本 原理 


将 安全 性 置 于 两 个 较 低 的 系统 层 之 一 有 两 个 很 好 的 理由 (如 图 5-2 所 示 )。 如 果 攻 击 者 从 底 
层 进入 ,任何 给 定 层次 上 的 安全 机 制 都 将 遭 到 破坏 。 因 此 , 为 了 评 
售 系统 安全 性 ， 必 须 证 明 安 全 机 制 不 会 被 绕 过 。 系 统 越 复 杂 ， 证明 
越 困 难 。 在 系统 的 核心 ， 有 可 能 找到 相当 简单 的 能 够 经 得 起 全 面 分 
析 的 结构 。 这 就 论证 了 把 安全 性 置 于 系统 核心 的 第 一 个 原因 。 

可 以 在 更 高 的 保证 级 别 上 评估 人 安全。 

微 处 理 器 设计 几乎 就 是 创建 那些 对 大 多 数 用 户 来 说 最 有 用 的 操 


作 集 的 技法 。 对 这 些 原 始 操作 的 正确 选择 和 有 效 实现 决定 了 总 体 性 
能 。 当 实现 安全 性 时 ， 可 以 遵循 相同 的 办 法 。 决 定 一 般 性 安全 机 图 5-2 安全 内 核 中 的 保护 








操作 系统 


操作 系统 内 核 


硬件 
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制 ， 并 把 它们 置 于 系统 核心 中 。 这 就 是 把 安全 性 置 于 系统 核心 的 第 二 个 原因 。 

把 安全 性 置 于 系统 核心 减轻 了 因 安 全 性 引起 的 性 能 损失 。 

把 安全 性 置 于 系统 核心 的 所 有 论证 都 将 我 们 推 向 人 一 机 标尺 的 机 器 端 ( 如 图 5-3)。 结 果 是 可 
以 预料 的 。 

引用 监控 器 制定 的 访问 控制 决策 已 远离 由 应 用 程序 制定 的 访问 控制 决策 。 


对 用 户 对 数据 
特定 的 通用 的 
复杂 的 关注 简单 的 关注 
OO 
面向 人 面向 机 器 


图 5-3 人 机 标尺 中 安全 内 核 的 放置 
5.3.2 计算 机 体系 结构 的 简单 概述 


我 们 假设 本 书 读者 对 计算 机 体系 结构 基本 概念 已 比较 熟悉 了 。 如 果 还 不 熟悉 ， 可 以 参考 
Hennessy and Patterson(2002)。。 就 目前 而 言 ， 用 图 5-4 给 出 的 
简单 计算 机 示意 图 描述 就 可 以 了 。 计 算 机 由 中 央 处 理 单元 
(CPU) 、 存 储 器 和 连接 二 者 的 总 线 组 成 。 在 实际 中 ， 这 三 种 
实体 都 有 非常 精细 的 结构 。 

1. 中 央 处 理 单元 

核心 的 CPU 部 件 包 括 : 

(1) 寄 存 器 (Register) : 包含 通用 寄存 器 和 专用 寄存 器 ， 
重要 的 专用 寄存 器 有 图 5-4 计算 机 的 示意 图 

© 程序 计数 器 (program counter): 指向 包含 下 一 条 要 执行 指令 的 存储 器 位 置 。 

e 栈 指针 (stack pointer): 指向 系统 堆栈 的 栈 顶 。 

e 状 态 寄 存 器 (status register): 允许 CPU 保存 重要 的 状态 信息 。 

(2) RH H A ( Arithmetic Logic Unit): 执行 用 机 器 语言 给 出 的 命令 ; 指令 执行 后 可 能 会 

在 状态 寄存 器 中 置 位 。 

系统 堆栈 (system stack) 是 存储 器 中 一 块 特别 指定 的 部 分 ， 堆 栈 可 以 通过 将 数据 压 人 栈 顶 或 
从 栈 顶 弹出 数据 来 进行 访问 。 为 了 在 不 同 的 进程 间 切 换 ，CPU 执行 上 下 文 切 换 操 作 ， 并 在 将 控 
制 交 给 新 进程 前 将 当前 进程 的 状态 ， 如 程序 计数 器 、 状 态 寄 存 器 等 保存 在 堆栈 中 。 

2. 输入 /输出 

输入 设备 (如 键盘 ) 和 输出 设备 (如 显示 器 ) 大 大 增加 了 计算 机 的 易 用 性 。 在 输入 安全 敏感 数 
据 如 用 户 名 和 口令 时 ， 需 要 建立 一 条 从 输入 /输出 设备 到 TCB 的 可 信和 路 径 (Trusted Path), Win- 
dows 2000 中 的 安全 警告 序列 就 是 一 个 例子 。 在 用 户 需要 对 文档 签名 的 应 用 中 ， 必 须 保证 显示 的 
文档 就 是 实际 需要 被 签名 的 文档 。 

3. 存储 结构 

下 面 简要 介绍 不 同 的 存储 结构 的 安全 特性 。 

(1) 随 机 存储 器 (random access memory, RAM): 读 / 写 存储 器 ; 必须 考虑 完整 性 和 机 密 性 问题 。 








© Computer Architecture; A Quantitative Approach(《 计 算 机 体系 结构 : 量化 研究 方法 》) ， 本 书 由 机 械 工 业 出 版 社 引 
进出 版 。 一 一 编者 注 
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(2) 只 读 存 储 器 (read- only memory, ROM): 有 内 建 的 完整 性 保护 机 制 ， 只 需要 考虑 机 密 性 
问题 ，ROM 可 能 是 存储 ( 部 分 ) 操作 系统 的 好 地 方 。 

(3) TRE TBE Rit 44 B (erasable and programmable read-only memory, EPROM): 可 用 
于 存储 部 分 操作 系统 或 密 钥 ; 技术 上 更 复杂 的 攻击 可 能 会 对 安全 造成 威胁 。 

(4) 一 次 写 入 型 光盘 (write- once memory, WROM): 这 种 存储 结构 配备 一 种 允许 一 次 性 固化 
存储 内 容 的 机 制 ; 在 硬件 中 可 以 通过 熔断 写 线 上 的 熔 丝 来 做 到 。 但 是 还 可 能 遇 到 “逻辑 熔 丝 ”; 
WROM 可 能 是 存储 密 钥 的 一 个 好 地 方 ; 只 写 磁盘 正 被 用 于 记录 审计 踪迹 。 

进一步 ,还 可 以 分 为 易 失 性 (volatile) 存储 器 和 非 易 失 性 (nonvolatie)， 即 永久 性 
(permanent) 存 储 器 。 前 者 当 断 电 时 会 丢失 内 容 ， 在 物理 上 这 个 过 程 既 不 是 瞬间 的 也 不 是 完全 的 。 
如 果断 电 后 立即 接 上 电源 ， 旧 的 数据 还 可 能 保存 在 存储 器 中 。 即 便 电源 被 关闭 了 一 段 时 间 ， 昌 的 
存储 器 内 容 仍然 有 可 能 通过 特定 的 电子 技术 恢复 。 为 了 抵抗 这 种 攻击 ， 存 储 器 必须 用 合适 的 取 
决 于 存 介质 的 位 模式 重复 地 改写 (美国 国防 部 ，71987) 。 

永久 性 存储 器 在 断 电 时 仍 能 保持 其 内 容 。 如 果 人 敏感 数据 (如 密 钥 ) 存 放 在 永久 存储 器 中 ， 并 
且 攻 击 者 能 够 绕 过 CPU 直接 访问 存储 器 ， 那 么 必须 实现 像 口令 检测 保护 或 物理 保护 等 进一步 的 
措施 。 比 如 将 光 传 感 器 放置 在 防 纂 改 模块 中 ， 以 检测 某 些 操作 企图 并 触发 对 模块 中 存储 内 容 的 
删除 。 物 理 保护 本 身 就 是 一 个 研究 课题 ， 它 已 超出 本 书 讨论 范围 。 我 们 将 注意 力 集中 在 用 户 只 能 
通过 CPU 访问 内 存 的 情形 ， 研 究 CPU 如 何 实现 机 密 性 和 完整 性 。 比 如 ， 如 何 能 够 防止 计算 机 病 
毒 用 一 个 受 感 染 的 操作 系统 版 本 改写 一 个 于 净 的 版 本 。 

有 一 点 很 重要 ， 就 是 要 提醒 自己 图 5-4 中 的 存储 器 是 另 一 个 抽象 概念 。 逻 辑 上 ， 存 储 器 可 能 
由 主 存储 器 、 高 速 缓存 存储 器 和 缓冲 器 组 成 ， 即 便 是 备份 介质 也 可 以 包括 在 其 中 。 因 为 ， 一 个 数 
据 对 象 可 能 同时 存在 于 该 存储 层次 结构 中 的 多 个 位 置 上 。 除 了 在 主 存储 器 中 有 一 个 永久 性 的 找 
贝 之 外 ， 还 可 能 有 临时 性 拷贝 。 通 常 ， 这 些 临时 拷贝 的 位 置 和 生存 期 不 在 用 户 的 控制 之 下 。 如 果 
这 些 临 时 拷贝 之 一 被 保存 在 一 个 未 受 保 护 的 存储 区 域 ， 对 数据 对 象 的 安全 控制 就 可 能 被 绕 过 。 


5.3.3 ”进程 和 线程 


进程 是 一 个 正在 执行 的 程序 ， 因 此 ， 对 于 操作 系统 来 说 进程 是 一 个 很 重要 的 控制 单元 ， 当 然 
对 于 安全 来 说 也 是 如 此 。 简 单 地 说 ， 一 个 进程 由 以 下 几 个 部 分 组 成 : 

。 可 执行 代码 。 

。 数 据 。 

e 执行 环境 ， 如 某 些 相关 的 CPU 寄存 器 的 内 容 。 

进程 (Process) 在 它 自 己 的 地 址 空间 中 工作 ， 并 且 只 能 通过 操作 系统 提供 的 原 语 同 其 他 进程 
通信 。 进 程 间 的 这 种 逻辑 分 离 对 于 安全 来 说 是 非常 有 用 。 但 另 一 方面 ， 进 程 间 的 上 下 文 切换 开销 
很 大 ， 因 为 操作 系统 必须 将 全 部 的 执行 环境 保存 在 堆栈 中 。 

线程 (Thread) 是 进程 内 部 的 执行 流 。 由 于 线程 间 共 享 一 个 地 址 空间 ， 它 们 避免 了 全 部 的 上 下 
文 切换 开销 ， 但 是 也 避 开 了 可 能 的 安全 机 人 制 控制 。 l 


5.3.4 ， 受 控 调 用 一 一 中 断 


处 理 器 能 够 处 理由 程序 错误 、 用 户 请 求 、 硬 件 故 障 等 引起 的 执行 中 断 ， 这 种 处 理 机 制 被 称 为 
异常 (exception) 、 中 断 (interrupt) 、 陷 阱 (trap ) 等 不 同 的 名 称 。 不 同 的 术语 可 能 指 的 是 不 同类 型 
的 事件 ， 但 仍然 有 相 冲 突 的 分 类 法 ， 若 要 进一步 了 解 可 参看 Hennessy and Patterson( 2002) 。 

接 下 来 ， 我 们 将 陷阱 用 作 一 般 术 语 ， 并 且 解 释 怎 样 将 陷阱 用 于 安全 目的 。 陷 阱 是 CPU 的 一 
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种 特殊 输入 ， 它 包括 中 断 向 量 表 (interrupt vector table) 中 一 个 称 为 中 断 向 量 (interrupt vector) 的 地 
址 。 中 断 向 量 表 给 出 了 一 些 程序 的 位 置 ， 这 些 程序 用 于 处 理 陷 阱 规定 的 时 间 ， 称 为 中 断 处 理 器 ， 
见 图 5-5。 当 一 个 陷阱 发 生 时 ， 系 统 在 堆栈 中 保存 当前 状态 ， 然 后 执行 中 断 处 理 器 ， 用 这 种 方式 
将 控制 从 用 户 程序 那儿 接管 过 来 。 中 断 处 理 器 必须 保证 在 将 控制 返回 给 用 户 程 序 前 ， 将 系统 恢 
复 到 一 个 正确 的 状态 ， 比 如 清除 超级 管理 用 户 状 态 位 。 

中 断 PO 存储 器 


陷阱 #n 








图 5-5 中 断 处 理 


在 处 理 器 处 理 当前 中 断 时 有 可 能 出 现 另 一 个 中 断 。 接 下 来 ， 处 理 器 可 能 会 中 断 当 前 的 中 断 
处 理 器 。 这 种 情况 下 的 不 合适 处 理 可 能 会 导致 安全 缺陷 。 一 个 典型 的 例子 就 是 : 用 户 可 以 通过 键 
A Corl + C 中 断 程序 的 执行 ， 之 后 ， 处 理 器 就 可 以 根据 当前 进程 的 状态 位 一 起 返回 给 操作 系统 。 
然后 用 户 就 可 以 通过 操作 系统 调用 的 执行 进入 超级 用 户 模式 。 所 以 ， 在 执行 程序 前 建立 中 断 表 
以 使 得 中 断 可 以 被 合适 处 理 是 相当 重要 的 。 

从 以 上 讨论 可 以 清晰 看 出 ， 中 断 表 是 一 个 特别 引 和 人 注目 的 攻击 点 ， 必 须 受到 充分 的 保护 。 改 
变 中 断 表 中 的 入 口 使 它 指向 一 段 攻击 代码 ， 然 后 在 跳 转 到 正确 的 中 断 处 理 前 执行 它 ， 这 就 是 病 
毒 创 建 者 使 用 的 策略 (图 5-6) 。 在 设计 技术 中 ， 间 接 层 非常 有 用 ， 并 被 频繁 使 用 着 。 但 是 ， 不 管 
什么 时 候 用 到 这 种 间接 技术 ， 我 们 都 应 该 看 看 有 没有 如 上 描述 的 攻击 。 


中 断 cP UB eT 存储 器 








图 5-6 通过 中 断 向 量 重 定向 插入 病毒 代码 


经 验 教 训 
重 定向 指针 是 一 种 非常 有 效 的 攻击 模式 。 


5.3.5 intel 80386/80486 上 的 保护 
Intel 80386/80486 是 32 位 微 处 理 器 ，80386/80486 上 的 保护 模式 支持 多 任务 操作 系统 的 完整 


性 和 机 密 性 要 求 。 
Intel 80x86 在 状态 寄存 器 有 一 个 2 比特 的 域 ， 定 义 了 四 种 特权 级 别 (保护 环 ， 参 见 4 6.4 节 )， 
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特权 级 别 只 能 被 运行 在 级 别 0 上 的 单 指令 (POPF) 修 改 。 软 件 可 以 被 指派 到 如 下 各 个 级 别 上 。 

。0 一 操作 系统 内 核 。 

o 1 一 操作 系统 其 他 部 分 。 

°2—l/0 驱动 程序 等 。 

。3 一 应 用 软件 。 

并 非 所 有 的 操作 系统 都 使 用 全 部 的 四 个 级 别 ， 比 如 UNIX 只 使 用 0 和 3 级 ，Intel 80x86 实现 
了 以 下 安全 策略 。 

程序 只 能 访问 位 于 自己 环 内 或 环 外 的 对 象 。 程 序 只 能 在 自己 的 环 内 调用 子 例 程 。 

80x86 保存 系统 对 象 的 信息 ， 如 存储 器 段 、 访 问 控制 段 或 描述 符 (descriptor) 中 的 门 。 描 述 符 
保存 在 描述 符 表 中 ， 通 过 选择 器 (selector) 进行 访问 ， 对 象 的 特权 级 别 保存 在 它 的 描述 符 的 描述 
符 特 权 级 (Descriptor Privilege Level，DPL) 域 中 。 选 择 器 是 一 个 16 比特 的 域 ， 包 含 一 个 指向 描述 
符 表 中 对 象 人 口 的 索引 以 及 一 个 被 请 求 的 特权 级 别 (Requested Privilege Level) 域 (图 5-7), RPL 
域 的 使 用 参见 后 文 。 只 有 操作 系统 能 够 访问 选择 器 。 


15 3 2 1 0 











描述 符 表 
5-7 ”选择 器 和 描述 符 


包含 主体 ( 即 进程 ) 信息 的 系统 对 象 当然 也 有 描述 符 和 选择 器 。 当 主体 请 求 访问 对 象 时 ， 相 
关 的 选择 器 被 装 和 人 专用 的 段 寄 存 器 。 比 如 ， 当 前 进程 的 特权 级 别 ， 称 为 当前 特权 级 别 (current 
privilege level，CPL) ， 就 是 保存 在 代码 段 (CS) 寄存器 中 的 选择 器 特权 级 别 。 

毋庸 置疑 ， 我 们 又 一 次 面 对 了 这 样 的 问题 ， 就 是 必须 对 那些 要 求 较 高 特权 的 操作 进行 访问 管 
理 。 假 设 环 3 中 的 某 个 应 用 程序 需要 环 1 中 的 一 个 操作 系统 例 程 的 服务 ， 在 80x86 中 的 这 个 问题 是 
通过 门 (gate) 来 解决 的 。 门 是 一 个 指向 某 个 程序 ( 某 个 代码 段 中 ) 的 系统 对 象 ， 在 这 里 ， 门 具有 和 它 
所 指向 的 代码 不 同 的 特权 级 别 。 门 允许 对 环 内 中 的 程序 进行 只 执行 访问 ， 但 仍 限 制 向 外 调用 。 

为 使 程序 使 用 门 ， 门 必须 和 程序 位 于 同一 个 环 内 。 当 通过 门 调用 一 个 子 例 程 时 ， 当 前 特权 级 
别 变 为 门 正 指向 的 代码 级 别 。 当 从 子 例 程 返回 时 ， 特 权 级 别 恢复 到 调用 程序 的 特权 级 别 。 子 例 程 
调用 也 在 堆栈 中 保存 指示 调用 程序 状态 的 信息 或 返回 地 址 。 为 了 确定 堆栈 的 合适 特权 级 别 ， 记 
住 调用 程序 不 能 写 人 内 环 。 但 是 出 于 安全 的 原因 ， 将 堆栈 保留 在 外 环 也 是 不 能 解决 问题 的 ， 因 为 
这 会 使 返回 地 址 完全 没有 保护 。 因 此 ， 一 部 分 堆栈 (多 少 在 门 的 描述 符 中 规定 ) 要 拷 册 到 一 个 更 
有 特权 的 堆栈 段 中 。 

AaMRBAMA 

允许 外 环 程序 调用 内 环 程序 将 会 产生 一 个 潜在 的 安全 漏洞 。 外 环 程序 可 以 请 求 内 环 程序 将 
位 于 内 环 上 的 一 个 对 象 拷贝 到 外 环 上 9。 迄 今 为 止 ， 我 们 给 出 的 任何 安全 机 制 都 不 能 防止 这 种 做 


O WS, MAHIZA MA confused deputy problem) 这 个 术语 通常 用 于 描述 这 样 一 种 情形 :个 没有 特权 的 实体 
调用 一 个 更 高 特权 的 实体 做 出 违反 安全 策略 的 行为 。 
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法 ,事实 上 它 也 没有 违反 我 们 规定 的 安全 策略 。 因 此 ， 只 可 能 寄 希 望 于 扩展 原来 的 安全 策略 ， 使 
其 不 仅 考虑 到 当前 的 特权 级 别 ， 也 考虑 到 调用 程序 的 级 别 。 

在 80x86 中 ， 可 以 使 用 选择 器 中 的 RLP 域 和 调整 被 请 求 的 特权 级 别 (adjust requested privilege 
level, ARPL) 指令 支持 这 种 策略 。ARPL 指令 将 所 有 选择 器 的 RPL 域 改 为 调用 程序 的 CPL， 然 后 
系统 可 以 比较 RPL( 选择 器 中 ) 和 DPL( 描 述 表 中 )， 如 果 它 们 不 同 ， 就 拒绝 完成 被 请 求 的 操作 (图 5-8)。 


15 3 2 1 0 
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选择 器 





men 


描述 符 表 
图 5-8 比较 RPL 与 DPL 


经 验 教 训 
为 了 在 访问 控制 中 达到 更 高 的 精确 度 ， 最 好 在 决定 访问 请 求 时 考虑 一 下 执行 历史 的 某 些 方面 。 


5.4 存储 器 保护 


操作 系统 管理 对 数据 和 资源 的 访问 ,通常 不 涉及 对 用 户 数据 的 解释 。 多 任务 操作 系统 交替 
执行 属于 不 同 用 户 的 进程 ， 因 此 操作 系统 不 仅 必须 保护 它 自己 的 完整 性 ， 还 必须 阻止 用 户 有 意 
或 无 意 地 访问 其 他 用 户 的 数据 。 操 作 系 统 本 身 的 完整 性 通过 隔离 用 户 空间 和 操作 系统 空间 来 保 
护 。 用 户 的 逻辑 隔离 可 防止 用 户 有 意 或 无 意 的 干扰 。 隔 离 发 生 在 两 个 级 别 上 。 

RHEE: 处 理 逻 辑 存 储 对 象 。 

。 存 储 管理 : 处 理 物 理 存 储 对 象 。 

对 于 安全 来 说 ， 这 种 区 分 非常 重要 。 为 了 说 明 这 一 点 ,不妨 来 看 两 种 最 主要 的 组 织 存储 方 
A: 分 段 和 分 页 。 分 段 (segmentation ) 是 将 数据 划分 成 逻辑 单元 ， 每 个 段 均 有 一 个 唯一 的 名 字 ， 
段 内 的 数据 项 通过 给 出 段 名 和 适当 的 段 内 偏 移 地 址 来 寻 址 。 操 作 系 统 维护 一 个 段 表 ， 其 中 包括 
段 名 以 及 各 个 段 在 存储 器 的 真实 地 址 。Multics 操作 系统 使 用 分 段 来 进行 逻辑 访问 控制 。 

“+ ”分 段 是 逻辑 单元 的 一 种 划分 ， 它 是 实际 安全 策略 的 良好 基础 。 

“- " 段 具 有 可 变 长 度 ， 这 使 得 存储 管理 较为 困难 。 

分 页 (paging) 将 存储 器 划分 为 大 小 相同 的 页 ， 同 样 地 址 由 两 部 分 组 成 : 页 号 和 页 内 偏 移 。 

“+ “分 页 很 流行 ， 因 为 它 允 许 高 效 的 存储 管理 。Multics 的 段 实际 上 是 分 页 的 。 

“= "分 页 对 访问 控制 来 说 并 不 是 一 个 很 好 的 基础 ， 因 为 页 不 是 逻辑 单元 。 因 此 一 个 页 可 能 
包含 要 求 不 同 保护 的 对 象 。 

更 粳 的 是 ， 分 页 可 能 会 打开 一 个 隐蔽 信道 。 逻 辑 对 象 可 以 跨越 边界 存储 ， 当 这 样 的 对 象 被 访 
问 时 ， 操 作 系统 在 某 个 时 候 会 要 求 一 个 新 页 ， 这 时 便 会 产生 缺 页 (page fault), MRR H A LK 
查看 到 一 一 就 像 大 多 数 操作 系统 那样 ， 那 么 用 户 就 获得 了 比 正 确 访问 请 求 结果 更 多 的 信息 。 

作为 例子 ， 不 妨 来 看 这 样 一 个 口令 方案 。 当 用 户 输 入 一 个 口令 后 ， 该 口令 被 逐 字符 扫描 ， 并 
同 保存 在 存储 器 的 一 个 参考 口令 相 比 较 ， 当 发 现 不 匹配 时 拒绝 访问 。 如 果 一 个 口令 跨越 页 边界 
存放 ， 那 么 攻击 者 可 从 查看 到 缺 页 来 推断 出 第 一 页 上 的 口令 片段 已 被 正确 猜测 出 来 。 如 果 攻 击 
者 可 以 控制 将 口令 放 在 页 的 什么 地 方 ， 猜 测 口令 就 变 得 很 容易 了 (如 图 5-9 所 示 ) 。 第 一 步骤 ， 
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口令 存放 在 内 存 中 ， 它 的 第 一 个 字符 和 其 他 字符 存放 在 不 同 的 页 中 。 攻 击 者 尝试 第 一 个 字符 的 
所 有 值 直到 再 次 出 现 缺 页 ， 表 明 猜 测 是 正确 的 。 然 后 将 口令 在 内 存 中 重新 排列 ， 使 得 前 两 个 字符 
和 其 他 字符 存放 在 不 同 的 页 中 。 攻 击 者 已 经 知道 了 第 一 个 字符 ， 现 在 可 以 尝试 第 二 个 字符 的 所 
有 的 值 ， 直 到 再 次 出 现 缺 页 。 通 过 不 断 的 尝试 ， 攻 击 者 能 够 搜索 到 口令 中 的 每 一 个 字符 。 





页 边界 [a8w0RD i 




















攻击 的 第 一 步 攻击 的 第 二 步 攻击 的 第 三 步 
图 5-9 使 用 缺 页 作为 隐蔽 信道 来 猜测 口令 


安全 编 址 


当 你 希望 操作 系统 保护 自身 完整 性 ， 并 将 每 个 进程 限制 在 各 自 的 地 址 空间 ， 那 么 任务 之 一 
就 是 控制 存储 器 中 数据 对 象 的 访问 。 这 样 ， 一 个 数据 对 象 将 在 物理 上 被 表示 成 存放 在 某 个 存储 
位 置 的 比特 集 。 访 问 一 个 逻辑 对 象 最 终 被 转换 成 机 器 语言 级 别 上 的 访问 操作 。 在 这 一 层 上 ， 控 制 
对 存储 位 置 的 访问 有 三 种 办 法 。 

。 操作 系统 修改 从 用 户 进 程 接收 到 的 地 址 。 

。 操作 系统 利用 用 户 进程 收 到 的 相对 地 址 构造 有 效 地 址 。 

。 操作 系统 检查 从 用 户 进 程 收 到 的 地 址 是 否 在 给 定 的 界限 内 。 

地 址 沙 盒 法 是 用 第 一 种 方法 对 应 的 实例 。 地 址 由 一 个 段 标识 (segment identifier) 和 一 个 偏 移 
量 (offset) 组 成 。 当 操作 系统 收 到 一 个 地 址 时 ， 它 会 设置 正确 的 段 标识 。 图 5-10 显示 了 如 何 用 两 
个 寄存 器 操作 来 完成 地 址 修改 。 首 先 ， 用 地 址 与 mask _1 7“ 5” (AND) 操作 清除 段 标识 ， 然 后 
用 地 址 与 mask _2 位 或 (OR) 操 作 将 段 标识 设置 成 希望 的 值 ，SEG_ID。 


地 址 seg_id 偏 移 量 
接 位 与 





接 位 或 














asai won 


图 5$-10 ”地址 沙 箱 


第 二 种 方法 中 ， 编 址 方式 的 巧妙 使 用 避免 了 进程 进入 禁止 的 存储 区 域 。 如 果 需 要 更 多 关于 
编 址 方式 的 背景 知识 ， 可 查阅 Hennessy and Patterson( 2002 ) 或 者 其 他 有 关 操 作 系统 或 计算 机 体系 
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结构 的 书 。 在 各 种 各 样 的 编 址 方式 中 ， 相 对 编 址 应 特别 引起 注意 。 

相对 编 址 是 用 相当 于 某 个 给 定 的 基地 址 的 偏 移 量 来 指明 的 。 

相对 编 址 允许 与 位 置 无 关 的 编码 ， 这 样 一 来 ， 程 序 便 可 以 存放 在 存储 器 的 任何 地 方 。 存 储 器 
程序 具有 很 大 的 灵活 性 ， 同 时 这 也 方便 了 栅栏 寄存 器 (fence register) 的 使 用 。 栅 栏 寄存 器 包含 了 
分 配给 操作 系统 的 存储 区 域 的 边界 地 址 ， 用 户 程 序 中 的 地 址 被 解析 为 相对 地 址 ( 偏 移 量 ， 位 移 
量 ) ， 操 作 系统 使 用 与 栅栏 寄存 器 相关 的 相对 编 址 ( 基 址 寄存 器 编 址 ) 来 计算 有 效 地 址 ( 见 图 
5-11) 。 使 用 这 种 方式 时 ， 只 有 操作 系统 空间 以 外 的 位 置 可 被 用 户 程序 访问 。 操 作 系统 采用 类 似 
的 方法 隔离 分 配给 不 同 用 户 的 存储 区 域 。 

这 种 方法 可 以 通过 用 基 址 寄存 器 (base register) 和 边界 寄存 器 (bounds register) 来 定义 分 配给 进 
程 的 存储 空间 ( 见 图 5-11) ， 从 而 得 到 进一步 的 改进 。 我 们 甚至 可 以 分 别 为 用 户 的 程序 空间 和 数据 空 
间 进一步 引入 基 址 寄存 器 和 边界 寄存 器 。 为 了 正确 使 用 这 种 工具 ， 处 理 器 必须 能 够 检测 一 个 给 定 的 
存储 空间 存放 的 是 数据 还 是 程序 代码 。Motorola 68000 处 理 器 就 通过 功能 编码 (function code) (图 
5-12) 来 支持 这 种 隔离 的 。 功 能 编码 将 处 理 器 状态 传 给 地 址 解码 器 ， 地 址 解码 器 能 够 使 用 这 个 信息 
在 用 户 存储 器 和 超级 用 户 存 储 器 之 间 进行 选择 ， 或 者 在 数据 和 程序 之 间 进行 选择 。 
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图 5-11 基 址 寄存 器 编 址 图 5-12 Motorola 68000 功能 代码 

经 验 教训 、 

区 分 数据 和 程序 的 能 力 是 非常 有 用 的 安全 特性 。 它 提供 了 保护 程序 不 被 修改 的 基础 。 

从 一 个 更 抽象 的 观点 来 看 ， 内 存 已 经 被 划分 成 了 不 同 的 区 域 。 访 问 控制 能 够 查看 对 象 或 程 
序 的 来 源 位 置 (location ) 。 

经 验 教训 

到 此 ， 微 观 世 界 中 已 经 有 了 一 个 基于 位 置 的 访问 控制 的 例子 。 在 分 布 式 系统 或 者 计算 机 网 
络 中 ， 通 常会 需要 这 种 访问 控制 。 

很 多 指令 集 都 没有 检查 它们 的 操作 数 类 型 的 方法 。 在 默认 的 情况 下 ， 类 型 信息 可 以 在 程序 
中 由 指定 地 址 寄存 器 提供 ， 这 些 地 址 寄存 器 可 以 在 不 同 的 内 存 访问 操作 中 使 用 。 这 种 解决 办 法 
需要 合适 的 程序 规则 。 

相反 地 ， 在 一 个 有 标记 结构 (tagged architecture) 中 ， 每 个 数据 
项 都 有 一 个 用 于 表明 其 类 型 的 标记 。 在 执行 前 ，CPU 会 检查 存储 器 
中 的 值 是 否 存在 类 型 不 符 的 情况 。 这 些 标记 也 会 用 于 实施 安全 策 
略 。 在 历史 上 ， 有 标记 结构 曾经 在 理论 上 而 不 是 在 实际 实现 中 成 
行 。 有 标记 结构 的 少数 例子 就 包括 了 Burroughs B6500-7500 系统 和 
IBM 系统 /38( Berstis et al ，1978)。( 对 于 那些 对 计算 机 历史 感 兴 
趣 的 读者 而 言 ，Von Neumann(1993) 在 他 的 1945 年 的 第 一 个 有 关 电 
子 数 据 计算 机 的 报告 中 就 描述 了 有 标记 结构 )。 图 5- 13 显示 了 有 标 图 5-13 有 标记 的 体系 结构 
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记 体 系 结构 ， 这 个 结构 中 显示 了 存储 对 象 的 类 型 。 例 如 ， 整 型 (INT) 、 位 串 型 (STR ) 、 操 作 数 型 
(OP) 。 标 记 也 可 用 于 显示 对 存储 位 置 可 以 采取 的 访问 操作 ， 比 如 ， 读 、 写 或 者 执行 。 


5.5 深层 阅读 


基本 的 访问 控制 范例 都 归功 于 Lampson (1974)。 引 用 监控 器 最 早起 源 于 Anderson 的 报告 
(1972), Denning( 1982) 全 方位 地 描述 了 第 一 个 多 用 户 操作 系统 的 计算 机 安全 研究 的 结果 。 进 一 
步 的 保护 技术 的 调查 可 以 在 Landwehr( 1983) 的 著作 中 得 到 。 在 安全 多 用 户 操作 系统 设计 中 使 用 
的 一 个 优秀 的 技术 账户 可 参见 Gasser (1988) 中 得 到 ,该 书 已 脱销 , 不 过 可 以 在 http: // 
www. acsac. org/ secshelf/book002. html 上 查阅 。 这 本 书包 括 了 这 个 领域 很 多 有 用 的 技术 报告 
信息 。 
Sibert, Porras and Lindell( 1996 ) 讨论 了 用 Intel 80x86 处 理 器 建立 安全 内 核 的 事宜 。Wahbe 
etal ,，(1993) 则 在 著作 中 描述 了 地 址 沙 箱 以 及 有 关 的 技术 。 

MacKenzie and Pottinger( 1997) 比较 了 有 关 安 全 计算 机 系统 的 早期 历史 。 可 信 计 算 基 (安全 内 

核 ) 在 构建 安全 系统 时 是 否 合 适 的 不 同 观点 分 别 可 以 参看 Blakely( 1996， 反 对) 和 Baker(7996， 支 

持 ) 的 著作 。Schneider(2000) 充 分 探究 了 引用 监控 器 设计 的 理论 基础 。 


5.6 练习 


练习 5.1 智能 卡 中 的 微 处 理 器 常 将 整个 的 操作 系统 放 入 ROM 中 。 当 前 ， 这 个 处 理 方式 有 
向 微 处 理 器 转变 的 趋势 ， 部 分 的 操作 系统 可 以 下 载 到 EEPROM( 电 可 擦 写 可 编程 只 读 存 储 器 ) 中 。 
将 操作 系统 放 在 ROM 中 有 什么 优点 和 缺点 ? 将 操作 系统 移动 到 EEPROM 中 会 对 安全 有 什么 
影响 ? 

练习 5.2 没有 安全 内 核 是 否 安全 ? 讨论 有 一 个 可 信 计 算 基 的 安全 内 核 (如 TCB) 的 优点 和 

练习 5.3 搜寻 将 以 下 三 种 原则 应 用 在 安全 系统 建立 中 的 例子 : 责 权 分 离 、 抽 象 数 据 类 型 和 
原子 操作 。( 原子 操作 必须 全 部 执行 以 保证 安全 性 。 如 果 它 被 中 断 ， 系 统 可 能 会 终止 在 不 安全 
状态 。) 

练习 5.4 所 谓 的 寄生 病毒 会 感染 可 执行 程序 。 通 过 区 分 程序 和 数据 来 帮助 构建 抵御 这 种 病 
毒 的 防护 的 能 力 将 如 何 实现 ? 

练习 5. 5 ”一 些 缓冲 区 溢出 攻击 会 把 它们 希望 执行 的 代码 放 入 调用 栈 中 。 通 过 区 分 程序 和 数 
据 来 帮助 构建 抵御 这 种 特殊 类 型 的 缓冲 溢出 攻击 的 能 力 将 如 何 实现 ? 

练习 5.6 反 病 毒 软件 扫描 文件 来 对 抗 攻击 。 一 个 病毒 如 何 截取 对 内 存 的 读 请 求 以 及 隐藏 它 
的 存在 ? 

练习 5.7 考虑 这 样 的 一 个 系统 : 该 系统 会 把 事件 号 写 人 它 的 审计 日 志 ， 并 且 会 用 一 张 表 将 
这 些 事件 号 转换 为 消息 。 在 日 志文 件 条 目 中 使 用 这 种 间接 级 别 有 什 么 潜在 的 优点 ? RAAB 
在 的 危险 ? 

练习 5. 8 作为 一 个 学 习 例子 , 试 查看 SE Linux 中 类 型 实施 是 如 何 实现 的 。 





第 6 章 UNIX 安全 


到 目前 为 止 ， 我 们 已 经 分 别 学 习 了 各 种 安全 机 制 。 在 真正 的 实现 中 ， 它 们 是 相互 依赖 的 。 比 
如 ， 访 问 控制 和 身份 认证 就 必须 协同 工作 ， 缺 少 了 任何 一 个 都 无 法 有 效 工作 。 因 此 ， 我 们 现在 要 
将 注意 力 转 移 到 由 操作 系统 提供 的 安全 机 制 。UNIX 是 我 们 的 第 一 个 例子 ， 因 为 它 为 我 们 提供 了 
一 个 在 相当 细节 的 层面 上 研究 安全 机 制 的 机 会 。Linux 下 的 安全 机 制 与 其 同类 操作 系统 UNIX 极 
为 相似 ， 因 此 这 一 章 可 以 作为 Linux 下 安全 的 入 门 。 

目标 

。 了 解 典型 操作 系统 提供 的 安全 特色 。 

© 介绍 UNIX 安全 基础 。 

。 明白 实际 系统 中 ,通用 的 安全 原则 是 如 何 实 现 的 。 

。 在 不 断 变化 的 环境 中 ， 分 析 安 全 管理 的 任务 。 


6.1 引言 


操作 系统 包括 了 一 些 基本 构件 ， 比 如 ， 身 份 识别 和 认证 ， 访 问 控 制 和 审计 ， 以 提供 一 致 的 安 
全 控制 集合 。 一 旦 我 们 决定 支持 灵活 而 且 “ 富 有 特色 ”的 安全 策略 ， 那 么 安全 机 制 就 会 变 得 极为 
复杂 。 在 那些 环境 中 ，TCB 将 会 过 于 庞大 以 至 于 无 法 放 人 到 小 型 安全 内 核 中 。 在 我 们 的 分 层 模 
型 中 ， 目 前 所 研究 的 是 由 操作 系统 层 所 提供 的 安全 控制 。 当 评估 操作 系统 安全 性 的 时 候 ， 以 下 问 
题 可 以 指导 分 析 。 

已 经 实现 了 哪些 安全 特色 ? 

© 这 些 安全 特色 如 何 管理 ? 

e 安全 特色 在 什么 条 件 下 才 起 作用 ? 

在 最 商业 化 的 操作 系统 中 ， 有 一 种 通用 的 安全 控制 组 织 模式 。 有 关 用 户 (主体 ) 的 信息 被 存 
储 在 用 户 账户 中 。 授 予 给 用 户 的 任何 特权 都 被 存放 在 这 个 账户 中 。 身 份 识别 和 认证 验证 用 户 身 
份 ， 使 得 系统 能 够 将 用 户 和 由 用 户 启 动 的 进程 联系 起 来 。 有 关 资 源 ( 对 象 ) 的 许可 能 够 由 系统 管 
理 器 或 者 资源 所 有 者 设置 。 在 决定 允许 或 拒绝 访问 请 求 时 ， 操 作 系 统 可 以 参考 用 户 身 份 、 用 户 特 
权 以 及 对 象 许可 设置 。 

安全 性 不 仅 要 解决 对 未 授权 行为 的 阻止 ， 同 时 也 要 解决 对 未 授权 行为 的 检测 。 我 们 必须 面 
对 这 样 的 事实 ， 攻 击 者 可 能 会 找到 绕 过 保护 机 制 的 方法 。 后 备 措 施 必 须要 跟踪 用 户 已 经 执行 的 
操作 以 便 能 够 研究 安全 分 支 或 者 跟踪 可 能 的 攻击 。 因 此 ， 必 须要 求 操作 系统 记录 和 保护 与 安全 
相关 的 审计 日 志 (audit log). 

最 后 ， 如 果 不 能 正确 使 用 操作 系统 的 安全 特色 ， 那 么 操作 系统 最 好 的 安全 特色 也 将 是 毫 无 
价值 的 。 系 统 必须 在 一 个 安全 状态 下 启动 ， 因 此 系统 的 安装 (installation) 和 配置 (configuration) 都 
是 十 分 重要 的 问题 。 不 完善 的 默认 设置 可 能 会 导致 重大 安全 缺陷 。 操 作 系 统 是 高 度 复杂 并 且 不 
断 进 化 的 软件 系统 。 因 此 ， 随 时 都 可 能 发 现 新 的 漏洞 ， 或 者 排除 已 有 的 漏洞 ， 或 者 发 布 新 的 版 
本 。 机 警 的 系统 管理 者 必须 紧 跟 当前 操作 系统 的 开发 。 

我 们 将 从 下 几 个 方面 来 对 操作 系统 的 安全 性 框架 进行 描述 : 
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。 主角、 主体 和 对 象 。 

© 访问 控制 。 

。 审计 、 配 置 和 管理 。 

这 一 章 将 验证 UNIX 操作 系统 的 安全 特性 。 由 于 其 设计 历史 的 原因 ，UNIX 的 可 靠 性 以 及 安 
全 性 并 没有 得 到 广汽 的 承认 ， 参 考 B F. Miller, Frederiksen et al (1990) 的 著作 。 但 是 ，UNIX ff 
实 提供 了 安全 特色 ， 如 果 这 些 特色 使 用 得 当 将 会 相当 有 效 。 而 且 人 们 对 UNIX 安全 性 的 看 法 也 发 
生 了 相当 大 的 变化 。 不 同 的 UNIX 和 Linux 版 本 在 技术 实现 以 及 安全 控制 实施 方式 上 可 能 存在 差 
异 。 本 章 中 所 用 到 的 命令 和 文件 名 均 采 用 了 典型 的 使 用 方法 表示 ， 但 这 仍旧 可 能 与 特定 系统 有 
所 不 同 。 为 了 试图 统一 UNIX 安全 性 ，POSIX 1003 系列 标准 定义 了 UNIX 系统 通用 接口 。POSIX 
1003. 6 解决 了 安全 机 制 问题 。 

这 一 章 并 没有 打算 完整 的 介绍 UNIX 安全 性 或 者 给 出 一 个 安全 地 建立 UNIX 系统 的 指导 。 我 
们 只 是 局 限于 展示 UNIX 安全 性 的 基础 知识 ， 并 且 重 点 突出 大 家 关注 的 安全 特性 。 


UNIX 安全 体系 结构 


在 大 多 数 操作 系统 将 安全 体系 结构 (security architecture ) 解释 为 如 何 强化 安全 性 以 及 将 安全 
相关 的 数据 存放 于 何 处 的 同时 ，UNIX 却 有 着 一 段 版 本 分 化 与 融合 的 历史 。 这 是 现实 的 真实 反 
映 。 每 当 有 新 的 需求 出 现时 ， 安 全 特色 就 被 加 入 系统 中 ， 而 不 是 沿袭 最 初 的 设计 目标 。 

UNIX 最 初 是 为 网 络 环境 下 的 小 型 多 用 户 计算 机 所 设计 的 ， 而 后 又 扩展 到 了 商用 服务 器 ， 再 
而 后 又 回 缩 到 了 PC 机 。 如 同 因特网 一 样 ，UNIX 最 初 是 为 了 友好 环境 而 设计 的 ， 比 如 实验 室 或 
者 大 学 ， 而 且 其 安全 机 制 较 弱 。 随 着 UNIX 的 发 展 ， 新 的 安全 控制 被 加 入 到 系统 中 ， 已 有 的 安全 
控制 得 到 了 加 强 。 在 实现 新 的 安全 特色 时 ， 设 计 者 以 尽 可 能 少 地 与 现 有 UNIX 结构 发 生 冲 突 为 方 
针 来 指导 设计 。UNIX 的 设计 哲学 是 假定 系统 安全 是 由 熟练 的 管理 员 来 管理 的 ， 而 不 是 有 一 般 的 
用 户 管理 的 。 因 此 ， 安 全 管理 更 多 的 是 依靠 脚本 形式 或 者 命令 行 形式 的 工具 。 


6.2 主角 


主角 就 是 所 谓 的 用 户 标识 符 (UID) 和 组 标识 符 (GID), UD 和 GID 是 6-1 UID 例子 
16 位 的 数字 。 某 些 UD 有 特殊 的 意义 ， 因 操作 系统 的 不 同 而 不 同 , 但 是 超 
级 用 户 ( 根 ) 的 UID 总 是 0。UID 的 例子 见 表 6-1。 


6.2.1 用 户 账户 


有 关 主 角 的 信息 被 存储 在 用 户 账户 (user account) 以 及 主 目录 中 。 用 户 
账户 被 存放 于 /etc/passwd 文件 中 。 该 文件 中 的 表 项 格式 如 下 : 


用 户 名 :用 户口 令 :UDI:GID:ID 字符 串 : 主 目 HK: EF shell 


用 户 名 (user name) 是 一 个 最 大 长 度 为 8 的 字符 串 。 在 登录 系统 时 ， 用 户 名 用 作 身 份 识 别 而 
不 用 于 访问 控制 。UNIX 不 会 对 具有 同一 个 用 户 标识 符 的 用 户 进行 区 分 。 口 令 是 被 加 密 存 储 的 
(参见 6.3.1 节 ) 。 标 识 域 包括 用 户 的 全 名 。 最 后 两 个 域 描述 了 用 户 的 主 目录 (home directory) 以 及 
用 户 成 功 登 录 之 后 可 用 的 shell 类 型 。 更 为 详细 的 用 户 设置 是 在 用 户主 目录 的 . profile 文件 中 定义 
的 。 当 用 户 登 录 时 ， 系 统 所 执行 的 动作 是 /etc/passwd 文件 中 定义 的 。 用 cat /etc/passwd 或 者 less/ 
etc/passwd 可 以 显示 口令 文件 ,文件 中 的 表 项 如 下 : 


dieter: RT. OSZEEsxT92: 10026: 53: Dieter Gollmann: /home/staff/dieter: /usr/local/bin/bash 
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6.2.2 超级 用 户 ( 根 ) 


在 每 一 种 UNIX 系统 中 ， 都 有 一 个 具有 特殊 权限 的 用 户 。 这 个 用 户 拥有 一 个 值 为 0 的 用 户 标 
识 符 ， 其 用 户 名 通常 为 根 (root) 。 根 账户 是 操作 系统 为 了 完成 类 似 于 登录 这 样 的 必要 任务 ， 记 录 
审计 日 志 或 者 访问 YO 设备 而 使 用 的 。 

对 于 可 以 执行 几乎 所 有 操作 的 超级 用 户 而 言 ， 所 有 安全 检查 均 被 关闭 。 比 如 ， 超 级 用 户 能 够 
切换 到 其 他 任何 用 户 。 超 级 用 户 能 够 改变 系统 时 钟 。 超 级 用 户 能 够 找到 方法 绕 过 施加 于 其 上 的 
少数 限制 。 比 如 ， 超 级 用 户 不 能 写 只 读 的 文件 系统 ， 但 是 他 可 以 印 载 该 文件 系统 ， 然 后 再 以 可 写 
方式 挂 载 该 文件 系统 。 超 级 用 户 不 能 解密 口令 ， 因 为 crypt 是 一 个 单 向 函数 。 


6.2.3 组 


所 有 的 用 户 都 属于 一 个 或 多 个 组 (group) 。 将 用 户 安排 在 组 中 更 便于 执行 访问 控制 决策 。 比 
如 ， 可 以 将 所 有 人 允许 访问 E- mail 的 用 户 安 排 到 mail 组 中 ， 将 所 有 操作 者 都 安排 到 operator 组 中 。 
每 个 用 户 都 属于 一 个 基础 组 (primary group ) 。 基 础 组 的 GID 被 存放 在 /etc/passwd 文件 中 。 文 件 / 
etc/group 包括 了 所 有 组 的 清单 ， 文 件 中 表 项 的 格式 如 下 : 


组 名 :组 口令 :GID: 用 户 列表 
比如 ， 这 个 表 项 : 


infosecwww: * : 209: chez, af 


告诉 我 们 组 infosecwww 的 口令 被 禁用 了 ， 其 GD 4209, MAHAR #6-2 特殊 组 ID 
个 用 户 : chez 和 af。 表 6-2 列 出 了 具有 特殊 意义 的 组 ID, 0 system/ wheel 

在 System V UNIX +, 用户 一 次 只 能 属于 一 个 组 。 当 前 组 可 以 通过 _! daemon 
newgrp 命 令 来 改变 。 用 户 可 以 自由 地 切换 到 他 们 所 从 属 的 其 他 组 中 。 如 果 _“ uucp 
用 户 试图 切换 到 他 们 所 不 从 属 的 其 他 组 中 ，newgrmp 命令 就 会 弹出 来 要 求 — 
用 户 输入 口令 ， 如 果 组 口令 (group password) 正确 ， 用 户 就 被 给 予 暂时 的 
成 员 资格 。 在 Berkeley UNIX 中 ， 用 户 可 以 存在 于 一 个 以 上 的 组 中 ， 因 此 
不 需要 newgrp 命令 。 


6.3 主体 


主体 是 进程 。 每 一 个 进程 都 有 一 个 进程 标识 符 (process ID ) 。 新 进程 是 通过 exec 或 fork 来 创 
建 的 。 每 一 个 进程 都 同一 个 真实 UIDGID(read UID/GID) 以 及 有 效 UID/GID 相关 联 。 真 实 UD 是 
从 父 进 程 继承 而 来 的 。 通 常 ， 它 是 登录 用 户 的 UID。 有 效 UD 是 从 父 进 程 或 者 从 正在 被 执行 的 文 
件 继承 而 来 的 (参见 6. 5. 1 节 )。POSIX 兼容 版 本 也 预 留 了 一 个 保留 UID/GID ( saved UID/GID)。 
下 面 的 例子 说 明了 真实 UID/GID、 有 效 UID/GID 以 及 UNIX 登录 进程 的 作用 。 





mem 





> 


bin 


7 terminal 





UID GID 
进程 真实 UID 有 效 UID 真实 GID 有 效 GID 
/bin/login root root system system 


HP dieter 登录 ， 登 录 进程 验证 用 户 名 和 口令 ,更改 UD A GD: 


/bin/login dieter dieter staff staff 


登录 进程 执行 用 户 登录 shell; 


/bin/bash dieter dieter staff staff 


用 户 通 过 shell 执行 ls 命令 : 
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/bin/is dieter dieter staff staff 


用 户 执行 su 命令 ， 以 root 身份 启动 一 个 新 的 shell: 


/bin/bash dieter root staff system 


6.3.1 登录 和 口令 


在 UNIX 中 ,通过 用 户 名 对 用 户 进行 身份 识别 ， 并 通过 口令 对 用 户 进行 认证 。 当 系统 启动 之 
后 ， 登 录 进 程 被 启动 并 作为 root 运行 。 当 用 户 登 录 之 后 ， 该 进程 验证 用 户 名 和 和 口令。 如 果 验 证 
成 功 ，UID/GID 被 切换 为 用 户 的 UID/GID， 同 时 用 户 的 登录 shell 被 执行 。 根 用 户 的 登录 可 以 被 
限制 在 /etcvttys 中 指定 的 终端 上 。 有 用户 上 次 登录 时 间 被 记录 在 /user/admvlastlog 文件 中 ， 可 以 通 
过 finger 等 命令 查看 。 

在 许多 UNIX 系统 中 ， 口 令 长 度 被 限制 在 8 个 字符 内 。 有 一 些 工具 通过 阻止 使 用 弱 口 令 能 够 
有 效 地 支持 口令 选择 。 口 令 用 crypt(3) 算 法 进行 加 密 ( 确 切 地 说 ， 是 进行 hash 运算 )。 该 算法 使 
用 全 0 块 作为 输入 并 使 用 口令 作为 加 密 密 钥 ， 连 续 25 次 使 用 略 经 修改 的 DES 算法 进行 加 密 。 加 
密 后 的 口令 被 存储 在 /etc/passwd 文件 中 。 

当 用 户 的 口令 域 为 空 时 ， 用 户 不 必 提 供 口令 便 可 登录 。 当 用 户 的 口令 域 以 星 号 打头 时 ， 用 户 
不 能 登录 系统 。 因 为 对 明文 口令 施 以 任何 一 种 单 向 函数 都 不 可 能 得 到 这 样 的 值 。 这 是 一 种 禁止 
用 户 账号 的 通用 方法 。 

通过 passwd(1) 命 令 可 以 改变 口令 。 首 先 ， 系 统 要 求 输入 以 前 的 口令 ， 以 预防 别人 在 用 户 没 
有 和 锁 住 屏幕 就 离开 电脑 时 更 改 用 户口 令 。 由 于 在 输入 口令 的 时 候 ， 字 符 是 不 会 显示 在 屏幕 上 的 ， 
因此 用 户 被 要 求 两 次 输入 新 口令 ， 以 确保 想 要 输入 的 口令 就 是 实际 输入 的 。 在 更 改口 令 之 后 ,可 
以 重新 登录 或 者 使 用 su(1) (set user) 命 令 来 确认 更 改 后 的 效果 。 


6.3.2 影子 口令 文件 


安全 敏感 的 UNIX 版 本 提供 了 进一步 的 口令 安全 规定 。/etc/passwd 是 通用 可 读 的 ， 因 为 它 
包含 了 为 许多 程序 所 需要 的 用 户 账户 信息 。 因 而 ， 攻 击 者 可 以 拷贝 口令 文件 ， 然 后 用 离线 字典 搜 
索 口 令 攻击 。 为 了 去 除 这 一 漏洞 ， 口令 被 存储 在 影子 口令 文件 (shadow password file) 中， 比如 
/. secure/etc/passwd ， 该 文件 只 能 被 根 用 户 访问 。 该 文件 也 可 以 用 于 实现 口令 老化 和 自动 账户 锁 
定 。 文 件 表 项 由 9 个 域 构成 : 

。 用 户 名 。 

。 口令 。 

。 上 次 更 改 日 期 。 

e 口令 更 改 之 间 的 最 小 天 数 。 

© 口令 有 效 的 最 大 天 数 。 

。 提前 多 少 天 通告 用 户口 令 即将 失效 。 

。 用 户 在 线 天 数 。 

© 登录 失效 的 日 期 。 

。 保留 域 。 

口令 加 盐 是 另 一 种 减缓 字典 攻击 的 方法 。salt 是 一 个 12 位 的 随机 数 ， 被 恰当 地 加 入 到 口令 
中 ， 并 且 以 明文 方式 保存 。 


6.4 对象 
访问 控制 对 象 包括 文件 、 目 录 、 存 储 设备 以 及 VO 设备 。 由 于 访问 控制 的 原因 ， 所 有 的 对 象 
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都 被 统一 视 为 资源 (resource) 。 资 源 被 组 织 成 树 型 结构 的 文件 系统 。 














6.4.1 i 节点 

目录 中 的 每 一 个 文件 表 项 都 是 一 个 指针 ， 指 向 名 为 i 节 . 表 6-3 ji 节点 中 与 访问 控制 
点 数据 结构 。 表 6-3 给 出 了 i 节点 中 与 访问 控制 相关 的 域 。 相关 的 域 
每 一 个 目录 都 包含 了 一 个 指向 其 自身 的 指针 ， 即 文件 ".” ， _mode 文件 类 型 以 及 访问 权限 
以 及 指向 其 父 目 录 的 指针 ， 即 文件 “..'。 每 一 个 文件 都 有 id 拥有 文件 的 用 户 
其 属 主 。 通 常 ， 属 主 就 是 创建 文件 的 用 户 。 每 一 个 文件 都 属 S | AA 
于 一 个 组 。 atime 访问 时 间 

mtime 修改 时 间 

在 不 同 版 本 的 UNIX 中 ， 新 建文 件 要 么 从 属于 其 创建 者 ”一 一- i 节点 更 改 时 间 
H, 要么 从 属于 其 目录 组 。 ek cman 二 文件 大 

在 讨论 i 节点 中 的 域 之 前 ， 我 们 先 用 ls-1 来 考察 一 个 目 物理 位 置 
录 ， 结 果 如 下 : 

-rw-r--r-- 1 diego staff 1617 Oct 2811: 01 adcryp. tex 

drwx------ 2 diego staff 512 Oct 2517: 44 ads/ 

分 析 可 得 到 的 信息 : 


。 第 一 个 字符 指出 了 文件 类 型 :“- "代表 文件 ,“d 代表 目录 ,“b" 代表 块 设备 文件 ， 而 “c” 


代表 字符 设备 文件 。 
e 接 下 来 的 9 个 字符 指出 了 文件 的 许可 (file permission) ， 下 面 还 要 讨论 。 
。 后 面 的 数字 域 是 链接 计数 器 (link counter) ， 用 于 计算 该 文件 上 的 链接 (link) 数 目 。 
。 接 下 来 的 两 个 域 是 属 主 名 和 文件 组 。 
。 然后 是 文件 字 节 大 小 。 


o 时 间 和 日 期 是 mtime， 即 上 次 修改 时 间 。ls- hu 显示 atitme， 即 上 次 访问 时 间 。jls- lc 显示 


itime， 即 上 次 修改 i 节点 的 时 间 。 


。 最 后 一 个 域 是 文件 名 。ads 后 面 的 “/” 表 示 是 一 个 目录 。 文 件 名 被 存储 在 目录 中 ， 而 非 i 节 


点 中 。 


文件 许可 (许可 位 ) 分 为 三 组 ,分 别 定 义 了 属 主 (owner)、 属 表 6-4 访问 许可 位 八 


组 (group) 以 及 其 他 人 (other) (也 叫做 world) 的 读 、 写 和 执行 的 进 制 表示 


权限 。“- ”表示 权 利 未 被 授予 。 因 此 ，rw-r--r-- 表 示 属 主 有 读 、 400 由 属 主 读 
写 权限 ， 属 组 以 及 其 他 人 只 有 读 权限 。rwx------ 表示 属 主 有 读 、 200 由 属 主 写 





写 以 及 执行 权限 ， 属 组 和 其 他 人 没有 任何 权限 。 100 由 属 主 执行 





通过 将 这 9 个 许可 位 分 为 3 组 ，UNIX 系统 中 文件 许可 也 可 ”一 | 申 属 组 读 


以 通过 八进制 数 表 示 。 每 一 种 访问 控制 权限 均 由 一 个 比特 位 表 pan 
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010 由 属 组 执行 


如 果 这 个 访问 位 被 设置 的 话 ， 就 被 赋予 了 访问 权限 。 表 6-4 004 由 其 他 人 读 





中 显示 了 这 些 数 字 。 权 限 的 联合 就 是 响应 数字 的 总 和 。 比 如 ， 许 002 由 其 他 人 写 


可 位 rw-r--r-- 等 价 于 644。 许 可 位 777 就 给 定 了 属 主 、 属 组 ， 以 001 由 其 他 人 执行 








及 其 他 人 所 有 的 访问 权限 。 
6.4.2 默认 许可 位 


UNIX 工具 ， 比 如 编辑 器 或 者 编译 器 ， 在 新 建文 件 的 时 候 ， 通 常 使 用 666 作为 默认 许可 位 ， 
而 在 新 建 程序 的 时 候 ， 通 常 使 用 777 作为 默认 许可 位 。 这 些许 可 位 可 以 通过 umask 进一步 调整 。 
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umask 是 一 个 包含 三 个 数字 的 八进制 数 ， 它 指定 了 应 该 被 保留 的 权利 。 所 以 ，umask 777 拒绝 所 
有 的 访问 ，umask 000 就 不 做 任何 限制 。 敏 感 的 默认 设置 有 : 

022 属 主 的 所 有 许可 ， 属 组 和 其 他 人 的 读 和 执行 许可 

037 属 主 的 所 有 许可 ， 属 组 的 读 许可 ， 其 他 人 无 许可 

077 属 主 的 所 有 许可 ， 属 组 和 其 他 人 元 许可 

实际 的 默认 许可 由 umask 屏蔽 (masking)UNIX 工具 的 默认 许可 而 得 到 。umask 按 位 取 反 再 和 
默认 许可 按 位 取 与 。 比 如 ， 上 默认 的 许可 位 666 和 umask 077， 由 666 AND NOT(077) ， 我 们 经 计算 
得 到 600。 这 将 给 予 文件 所 有 者 读 、 写 权限 ， 而 其 他 权限 都 被 拒绝 。 可 以 通过 如 下 命令 更 改 
umask ; 


umask [-S] [mask] 


这 里 ，-S 用 于 标注 符号 模式 。 如 果 没 有 给 出 掩 码 ， 该 命令 显示 当前 的 umask, 

/etc/profile 里 的 umask 定义 了 一 个 系统 范围 内 的 默认 设置 。 这 些 默 认 设置 可 以 被 用 户 重新 设 
置 ， 具 体 方 式 是 设置 用 户主 目录 里 的 umask。 根 据 UNIX 的 具体 安装 情况 ， 有 具体 位 置 可 以 在 /etc/ 
profile, . profile, . login 或 者 . cshrc 里 。 和 其 他 操作 系统 不 一 样 ，UNIX 不 可 能 为 目录 定义 单独 
的 默认 许可 ， 也 不 可 能 让 文件 从 目录 继承 许可 。 

用 拷贝 命令 cp 创建 文件 时 ,文件 许可 是 从 umask 中 获得 的 。 用 重 命名 命令 mv 创建 新 文件 
时 ,文件 将 会 保持 已 有 的 许可 许可 位 。 


6.4.3 目录 的 许可 


每 一 个 用 户 都 有 一 个 主 目录 ， 比 如 /home/staff/dieter。 可 以 使 用 mkdir 命令 建立 子 目录 。 用 
户 必 须 拥 有 正确 的 文件 许可 才能 在 指定 的 目录 中 创建 新 的 文件 和 目录 ( 见 表 6-5 )。 

e 读 许可 允许 用 户 查 找 目 录 中 有 哪些 文件 ， 比 如 执行 ls 或 者 其 他 类 似 的 命令 。 

。 写 许可 允许 从 目录 中 添加 或 者 删除 文件 。 

e 执行 许可 必须 将 目录 设 为 当前 目录 才能 打开 其 中 的 文件 。 如 果 用 户 知道 目录 中 存在 某 个 

文件 ， 才 可 以 打开 该 文件 ， 但 用 户 不 能 用 ls 命令 查看 该 目录 中 的 内 容 。 

因此 ， 为 了 访问 自己 的 文件 ， 用 户 必须 要 在 目录 中 有 执行 许可 。 为 了 阻止 别 的 用 户 读 你 的 文 
件 ， 既 可 以 设置 对 应 的 文件 访问 许可 位 ， 也 可 以 阻止 对 目录 的 访问 。 你 必须 要 有 对 目录 的 写 和 执 
行 许可 才能 够 删除 目录 。 你 并 不 需要 有 关 文件 的 任何 许可 ， 它 甚至 可 能 属于 别 的 用 户 。 针 对 该 特 
性 ， 需 要 提醒 系统 管理 员 ; 

如 果 你 试图 将 一 个 永久 文件 安装 到 一 些 用 户 的 目录 里 ， 那 么 麻烦 真 的 就 降临 了 。 

早期 UNIX 版 本 的 一 个 遗留 问题 是 粘 滞 位 。 它 最 初 的 作用 是 使 某 个 程序 在 首次 执行 后 继续 留 
在 虚拟 存储 器 中 。 这 样 ， 系 统 就 避免 了 把 那些 需要 经 常 访 问 的 程序 代码 苇 送 到 页 面 空间 中 。 而 
今 ， 粘 滞 位 用 于 限制 删除 文件 的 权限 。 比 如 ， 作 业 队 列 通常 是 完全 可 写 的 ， 这 样 任何 人 都 可 以 添 
加 文件 。 然 而 ， 在 这 种 情况 下 ， 每 个 人 也 都 可 以 删除 文件 。 设 置 了 粘 滞 位 的 目录 中 的 文件 ， 只 有 
在 用 户 是 文件 的 属 主 ， 目 录 的 属 主 并 且 拥 有 写 权 限 的 情况 下 或 者 用 户 为 超级 用 户 的 情况 下 ， 才 
能 被 删除 或 重 命名 。 

用 1s-1 查看 一 个 带 有 粘 滞 位 的 目录 时 ， 将 用 +t 而 不 是 x 表示 执行 许可 。 


6.5 访问 控制 


访问 控制 是 基于 主体 (进程 ) 和 对 象 (资源 ) 属性 之 上 的 。 标 准 的 UNIX 按照 属 主 、 属 组 、 其 
他 人 三 种 权限 来 管理 资源 。 超 级 用 户 不 受 这 种 访问 控制 的 限制 。UNIX 按照 统一 的 方式 来 对 待 所 
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有 资源 ， 它 不 区 分 文件 和 设备 。UNIX 按照 以 下 顺序 来 检查 访问 许可 位 : 
。 如 果 用 户 的 ud 表明 用 户 是 文件 的 属 主 ， 属 主 访问 许可 位 就 决定 了 用 户 是 否 可 以 获得 访问 权限 。 
。 如 果 用 户 不 是 文件 的 属 主 ， 但 是 用 户 的 gid 表明 用 户 在 的 组 拥有 该 文件 ， 组 许可 位 决定 了 
用 户 是 否 可 以 获取 访问 权限 。 
。 如 果 用 户 既 不 是 文件 的 属 主 ， 又 不 属于 文件 的 属 组 ， 那 么 其 他 人 访问 许可 位 决定 用 户 是 
否 可 以 获取 访问 权限 。 
因此 ， 通 过 设置 访问 许可 位 可 以 使 得 文件 属 主 的 访问 权限 少 于 其 他 用 户 。 这 听 起 来 让 人 有 
些 吃惊 ， 但 却 是 很 有 价值 的 经 验 教 训 。 对 于 任何 访问 控制 机 制 而 言 ， 都 必须 知道 不 同 访问 控制 规 
则 的 检查 顺序 。 


6.5.1 设置 UID 和 GID 


一 起 回 到 我 们 最 感 兴 趣 的 一 个 话题 : 受 控 调用 。 在 执行 某 些 系统 调用 的 时 候 ，UNIX 要 求 超 
级 用 户 特权 ， 比 如 只 有 根 用 户 才能 监听 受信 端口 0 ~ 123 ， 但 又 不 能 给 普通 用 户 以 超级 用 户 的 状 
态 。 所 以 必须 找到 能 够 满足 这 两 个 要 求 的 方法 。UNIX 采用 的 方法 是 提供 SUD (设置 用 户 标 识 
符 ) 和 SGID( 设 置 组 标识 符 ) 程 序 。 这 样 的 程序 与 属 主 或 属 组 的 有 效 UD RAR GID 一 起 运行 ， 
拥有 暂时 的 或 者 受 限 制 的 访问 权限 。 这 些 访 问 权限 通常 情况 下 是 不 赋予 普通 用 户 的 。 当 1s-1 命 
令 显 示 一 个 SUD 程序 时 ， 属 主 的 执行 许可 位 是 s 而 不 是 x: 

-rws--x--x 3 root bin 16384 Nov 16 1996 passwd" 

当 1s-1 显示 一 个 SGD 程序 时 ， 属 组 执行 许可 是 s 而 不 表 6-5 八进制 表示 的 SUID 
是 x。 在 八进制 表示 的 许可 中 ， 位 于 属 主 、 属 组 及 其 他 人 前 及 SGID 程序 
的 4 个 八 位 字 节 以 及 粘 滞 位 一 起 用 于 表示 SUD, SGD 程序 在 执行 时 设置 用 户 标识 符 
和 目录 ( 见 表 6-5)。 在 执行 时 设置 组 标识 符 

经 常 有 这 样 的 情况 ， 如 果 根 用 户 是 SUD 程序 的 属 主 ， HERRI 
这 时 运行 这 个 程序 的 用 户 就 会 在 执行 期 间 获得 超级 用 户 的 状 
态 。 重 要 的 SUID 程序 有 : 













/bin/passwd 更 改口 令 
/bin/login 登录 程序 
/bin/at 提交 批 处 理 作 业 
/bin/su 更 改 VID 程序 


在 这 里 我 们 照 惯 例 要 提出 警告 。 既 然 用 户 拥有 了 运行 时 的 SUD 程序 属 主 的 特权 ， 只 应 该 让 
这 个 程序 做 属 主 程序 准备 做 的 事情 。 这 一 点 对 于 属 主 是 root 的 SUID 程序 尤为 重要 。 一 个 可 以 改 
变 SUD 程序 执行 行为 的 攻击 者 ， 比 如 可 以 中 断 程序 执行 的 攻击 者 ,不仅 可 以 在 攻击 时 执行 需要 
超级 用 户 权 限 的 行为 ， 还 可 以 改变 系统 使 其 在 别 的 情况 下 同样 具有 这 样 的 权限 。 这 方面 的 危险 
发 生 在 有 用 户 交 互 的 SUID 程序 中 。 一 个 特别 的 漏洞 是 shell ig (shell escape) 。 它 使 用 户 能 以 超 
级 用 户 权 限 运行 shell 命令 。 除 非 实在 必要 ， 程 序 不 应 该 被 设置 为 SUID。 系 统管 理 员 应 该 十 分 注 
意 监 控 SUID 程序 的 完整 性 。Garfinkel!，Spafford and Schwartz(2003) 给 出 了 两 个 使 用 SUID 程序 
成 功 攻 击 的 实例 。 


6. 5.2 更 改 许可 


文件 的 许可 位 可 以 用 chmod 命令 修改 ， 这 个 修改 命令 的 执行 者 只 能 是 文件 的 属 主 或 者 是 超 
级 用 户 。 这 个 命令 的 格式 如 下 : 
chmod [-fR] absolute _ mode file 指定 所 有 访问 许可 位 的 值 
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chmod [-£R] [who] +permission file 添加 许可 
chmod [- fR] | who] -permission file 删除 许可 
chmod [- fR] [whe] =permission file 重 置 指定 许可 位 


在 绝对 模式 (absolute mode) 中 ， 文 件 许 可 由 一 个 八进制 数 直 接 指 定 。 在 符号 模式 (symbolic 
mode) 下 ， 当 前 文件 许可 将 被 修改 。 人 参数 who 可 以 使 用 如 下 值 : 
u 改变 属 主 许可 。 
g 改变 属 组 许可 。 
o 改变 其 他 人 许可 。 
a 改变 所 有 人 许可 。 
许可 参数 可 以 使 用 如 下 值 : 
读 许 可 。 
写 许可 。 
文件 执行 许可 ,目录 的 搜索 许可 。 
只 有 在 文件 是 一 个 目录 或 者 至 少 一 个 执行 位 被 设置 的 情况 下 的 执行 许可 。 
SUID 或 者 SGID 许可 。 
保存 文本 许可 (设置 粘 滞 位 )。 
-f 选项 用 于 抑制 错误 信息 ，-R 选项 用 于 在 当前 目录 的 所 有 子 目录 中 递归 地 执行 该 命令 。 
程序 的 SUID 许可 可 以 这 样 设置 ; 


t a x KX £ HK 


chmod 4555 file WE suid 
chmod u +s file BE suid 
chmod 555 file 清除 suid 
chmod u-s file 清除 suid 


GUID 许可 不 使 用 ua， 而 使 用 g 选项 。 

chown 命令 可 改变 文件 的 属 主 ，chgrp 改变 文件 的 属 组 。chown 是 不 受 欢迎 的 SUID F KH 
在 来 源 。 用 户 可 以 建立 一 个 SUD 程序 ， 然 后 把 它 的 属 主 改 为 root。 为 了 避免 这 样 的 攻击 ， 有 些 
版 本 的 UNIX 只 允许 超级 用 户 运行 chown。 别 的 UNIX 版 本 允许 用 户 对 他 们 自己 的 文件 使 用 
chown， 不 过 这 时 就 关闭 了 SUID 和 SGID 位 。 类 似 的 考虑 适用 于 chgrp。 


6.5.3 UNIX 访问 控制 的 不 足 


文件 只 能 有 一 个 属 主 和 属 组 。 许 可 只 能 控制 读 、 写 以 及 执行 访问 权限 。 因 而 ， 其 他 所 有 的 权 
限 ， 比 如 关机 权限 或 者 创建 新 用 户 的 权限 ， 都 被 映射 到 基本 的 文件 访问 许可 。 除 了 读 、 写 和 执行 
之 外 的 其 他 许可 都 必须 由 应 用 实现 。 通 常 ， 很 难 利用 UNIX 的 访问 控制 机 制 实现 更 为 复杂 的 安全 
机 制 。 在 这 个 方面 ，UNIX 安全 性 更 多 的 是 依赖 于 人 一 机 标尺 的 机 器 端 (图 6-1) 。 








对 用 户 对 数据 

特定 的 通用 的 

复杂 的 关注 简单 的 关注 
O- x— oO 
面向 人 面向 机 器 


图 6-1 人 一 机 标尺 上 的 UNIX 安全 
6.6 一般 安 全 原则 的 实例 
这 部 分 将 以 UNIX 为 例 ， 来 看 看 一 般 的 安全 原则 是 怎样 实现 的 。 
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6.6.1 受 控 调 用 的 应 用 


被 多 个 用 户 访问 的 敏感 资源 ， 比 如 网 络 服务 ， 可 以 使 用 结合 了 属 主 、 许 可 位 和 SUID 程序 概 
念 的 受 控 调 用 来 施加 保护 。 

。 创建 一 个 名 为 “Web server” 的 新 的 UID， 它 拥有 资源 以 及 需要 访问 该 资源 的 所 有 程序 。 

e 只 给 这 个 资源 的 属 主 以 访问 许可 。 

。 把 所 有 访问 资源 的 程序 设置 为 SUD 程序 。 

经 验 教 训 

当心 保护 过 度 。 如 果 用 户 需 要 某 个 文件 来 完成 他 们 的 工作 ， 而 你 却 拒绝 用 户 对 该 文件 的 直 
接 访 问 ， 那 么 你 必须 通过 SUID 程序 为 用 户 提供 对 该 文件 的 间接 访问 。 有 缺陷 的 SUID 程序 可 能 
比 精心 设计 的 访问 许可 位 给 予 用 户 更 多 的 权限 。 当 资源 和 SUID 的 属 主 是 类 似 root 一 样 的 特权 用 
户 时 ， 更 是 如 此 。 

在 这 个 案例 中 ， 我 们 看 到 了 一 个 在 安全 系统 设计 里 经 常 使 用 的 技术 实例 。 抽 象 属性 在 系统 
中 是 由 数据 结构 表示 的 。 该 数据 结构 又 被 其 他 安全 机 制 以 不 同 的 目的 重用 。UID 被 用 来 代表 系统 
中 的 真实 用 户 。 现 在 ，UID 被 用 来 进行 一 种 新 的 访问 控制 ， 在 此 ， 它 并 不 代表 任何 真实 用 户 。 


6. 6.2 删除 文件 


第 二 个 最 感 兴趣 的 话题 : 逻辑 存储 结构 与 物理 存储 结构 的 比较 。 特 别 是 ， 如 果 我 们 从 文件 系 
统 中 删除 了 一 个 文件 会 怎样 呢 ? 这 个 文件 还 会 以 某 种 形式 继续 存在 吗 ? 

UNIX 有 两 种 拷贝 文件 的 方法 。cp 命令 用 于 创建 一 个 一 模 一 样 但 是 独立 的 副本 。 除 了 cp 命 
S, 还 有 一 些 命令 link 和 In， 它 们 只 是 创建 了 文件 名 和 指向 原来 文件 的 指针 ， 同 时 增加 了 原来 文 
件 的 链接 计数 器 (link counter) 。 新 、 旧 文件 共享 文件 内 容 。 如 果 原 来 的 文件 用 rm 或 者 rmdir 删 
除了 ， 那 么 它 就 从 其 父 目录 中 消失 了 , 但 是 它 的 内 容 和 拷贝 依然 存在 。 这 样 ， 用 户 可 能 认为 他 们 
已 经 删除 了 文件 ， 但 是 实际 上 它 仍然 存在 于 其 他 目录 中 ， 用 户 仍然 拥有 它 。 如 果 你 想 要 彻底 删除 
一 个 文件 ， 超 级 用 户 必须 运行 ncheck 列 出 文件 的 所 有 链接 并 且 删 除 这 些 链接 。 如 果 一 个 文件 在 
被 别 的 进程 打开 后 由 属 主 删 除 ， 这 个 文件 在 此 进程 关闭 它 之 前 会 一 直 存 在 。 

一 旦 文件 被 删除 ， 分 配给 该 文件 的 存储 空间 就 可 以 被 重用 了 。 然 而 ， 除 非 这 些 存储 区 域 被 再 
次 使 用 ， 否 则 它们 仍旧 保留 着 文件 的 内 容 。 为 了 避免 类 似 的 存储 残留 (memory residue), FEAR 
文件 之 前 ， 应 该 使 用 全 零 或 者 适合 于 存储 媒介 的 模式 抹 去 这 些 内 容 。 尽 管 文件 还 没有 被 完全 删 
除 ， 一 些 高 级 文件 系统 (如 ，defragmenter) 可 能 会 移动 文件 从 而 在 磁盘 上 留 下 更 多 的 文件 拷贝 。 


6. 6.3 设备 保护 


下 一 个 问题 仍然 与 逻辑 存储 结构 和 物理 存储 结构 的 区 别 有 关 。UNIX 像 对 待 文件 一 样 地 对 待 
设备 。 这 样 ， 对 存储 器 或 者 对 打印 机 的 访问 都 可 以 像 访问 文件 一 样 设置 许可 位 。 设 备 文件 用 
mknod 命令 建立 。 该 命令 只 能 由 root 执行 。 在 /dev 目录 下 ， 通 常 可 以 发 现 如 下 设备 : 


/dev/console 控制 台 终端 . 

/dev/mem 主 存储 器 的 映 象 设备 ( 物理 存储 器 的 映 象 ) 
/dev/kmem 内 核 存储 器 映 象 设备 ( 虚拟 存储 器 的 映 象 ) 
/dev/tty 终端 


如 果 攻 击 者 能 够 访问 存放 文件 和 目录 的 存储 设备 ， 那 么 他 们 就 能 绕 过 设置 于 文件 和 目录 之 
上 的 安全 控制 。 如 果 存 储 器 设备 对 其 他 人 的 读 写 许可 位 被 设置 ， 攻击 者 就 能 浏览 或 者 修改 存储 
网 上 的 数据 ， 而 不 会 受 存 储 器 中 文件 的 访问 许可 的 约束 。 因 此 ， 几 乎 所 以 的 设备 都 应 该 禁止 其 他 
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人 的 读 写 。 

命令 如 进程 状态 命令 ps 显示 内 存 的 使 用 情况 ， 因 此 需要 对 内 存 设备 的 访问 许可 。 把 ps 定义 
为 root 的 SUID 程序 可 使 其 获得 必需 的 权限 。 不 过 ，ps 的 威胁 在 于 可 能 会 让 攻击 者 得 到 root 权 
限 。 更 好 的 解决 办 法 是 让 ps 成 为 SGD 程序 ， 让 mem 组 拥有 内 存 设备 。 

ty 终端 设备 是 另 一 个 有 趣 的 例子 。 用 户 登 录 的 时 候 ， 一 个 终端 文件 就 被 分 配给 这 个 用 户 ， 
用 户 就 成 了 本 次 会 话 中 该 文件 的 属 主 (终端 文件 空闲 的 时 候 ， 它 的 属 主 是 root) 。 让 这 个 文件 对 其 
他 人 可 读 写 会 带 来 诸多 方便 ， 因 为 这 样 一 来 ， 用 户 就 可 以 接收 来 自 其 他 用 户 的 消息 。 不 过 ， 这 也 
带 来 了 安全 隐患 。 别 人 现在 就 可 以 监视 进出 该 终端 的 流量 。 这 里 面 可 能 包含 用 户 的 口令 。 他 们 
可 以 向 用 户 终端 传送 命令 ， 比 如 ， 重 新 设 定 一 个 功能 键 ， 再 让 不 知情 的 用 户 执行 这 些 命令 。 
在 一 些 系统 中 ， 智 能 终端 会 自动 执行 这 些 命令 。 这 就 给 攻击 者 用 其 他 用 户 的 权限 提交 命令 提 
供 了 机 会 


6.6.4 改变 文件 系统 的 根 


在 沙 金 (sandbox ) 中， 通过 限制 可 疑 进 程 可 以 实现 访问 控制 。 对 沙 盒 外 部 对 象 的 访问 将 被 阻 
ik. 在 UNIX 中 ,改变 根 (change root) 的 命令 chroot 限制 了 未 授权 用 户 可 以 访问 的 文件 系统 。 该 
命令 只 能 由 root 执行 。 


chroot < 目录 > < 命令 > 


上 述 命令 执行 时 ， 根 目录 从 / 变 成 了 “目录 ”。 只 有 新 根 目录 下 的 文件 是 可 访问 的 。 如 果 采 用 
这 种 方案 ， 就 必须 确定 用 户 程 序 可 以 找到 所 有 它们 需要 的 系统 文件 。 这 些 文 件 的 预期 在 为 /bin， 
/dev ,/etc, /tmp 或 者 /usr 等 类 似 目录 。 必 须 在 新 的 根 目录 下 建立 有 着 相同 名 字 的 新 目录 ， 然后 
拷贝 或 者 链接 到 原来 目录 里 的 文件 。 


6.6.5 挂 接 文件 系统 


当 用 户 拥有 不 同 的 安全 区 域 并 且 要 从 别 的 区 域 向 用 户 的 系统 里 引 和 对象 的 时 候 ， 可 能 需要 
重新 定义 这 些 对 象 的 访问 控制 属性 。 

UNIX 文件 系统 把 存在 于 不 同 物理 设备 上 的 文件 系统 链接 在 同一 个 根 (用 “/” 表 示 ) 下 面 。 这 
通过 mount 命令 实现 。 在 网 络 环境 中 ， 远 程 文件 系统 可 以 从 别 的 网 络 节点 中 挂 接 。 同 样 ， 人 允许 用 
户 通 过 他 们 自己 的 软盘 挂 接 文件 系统 (automount) 。 

如 果 你 是 安全 专家 的 话 ， 警 钟 就 要 开始 长 鸣 了 。 挂 接 上 的 文件 系统 可 能 包括 各 种 不 受 欢迎 
的 文件 ， 比 如 ， 隐 藏 在 攻击 者 目录 中 指向 root 的 SUID 程序 。 一 旦 文件 系统 被 挂 接 ， 攻 击 者 就 可 
以 通过 运行 此 类 程序 获得 超级 用 户 的 状态 。 人 允许 直接 访问 内 存 的 设备 文件 也 很 危险 ,在 这 里 许 
可 已 经 被 设置 ， 从 而 攻击 者 可 以 访问 这 些 文件 。 所 以 ,命令 中 常 带 有 -r 标志 和 一 些 选 项 。 

mount [-r] [-o 选项 ] 设备 目录 

-rf 标志 表示 只 读 挂 接 ， 而 选项 里 包括 : 


nosuid 在 挂 接 的 文件 系统 中 关闭 SUID 和 SGID 位 
noexec 挂 接 文件 系统 中 的 二 进 制 文件 不 能 被 执行 

nodev 在 挂 接 的 文件 系统 中 不 能 访问 块 或 者 特殊 字符 设备 
当然 ， 不 同 版 本 的 UNIX 实现 mount 命令 的 不 同 选项 。 
经 验 教训 


UID 和 GID 都 是 局 部 描述 符 。 在 不 同 的 UNIX 系统 上 ， 它 们 不 必 按 照 同样 的 方法 进行 解释 。 
在 挂 接 远程 文件 系统 的 时 候 ， 用 户 可 能 错误 地 解释 这 些 描述 符 。 因 此 ， 你 应 该 在 网 络 上 使 用 全 局 
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唯一 的 描述 符 。 
6.6.6 ”环境 变量 
环境 变量 是 由 shell 所 保存 ， 通 常 被 用 来 326-6 Bash shell 的 环境 变量 
配置 工具 程序 的 行为 。 表 6-6 列 出 了 bash shell PATH shell 命令 的 搜索 路 径 
的 部 分 环境 变量 。 进 程 默认 从 其 父 进 程 继 承 环 TERM 终端 类 型 
境 变量 ， 而 且 执 行 其 他 程序 的 程序 可 以 将 被 调 DISPLAY 显示 名 称 
F HIYA ) HOSTNAME UNIX 主机 名 
些 程序 被 赋予 的 环境 变量 值 ， 所 以 就 会 出 间 ner 以 打印机 
题 。 攻 击 者 可 能 会 将 环境 变量 信 更 改 为 危险 值 。 EARE 
尝试 并 以 此 控制 程序 的 执行 流程 。 此 外 ， 许 多 psl 默认 提示 
库 和 程序 都 是 以 一 种 含糊 的 、 未 公开 的 方式 被 
环境 变量 所 控制 的 。 比 如 ， 攻 击 者 可 以 将 IFS ST SAE 


设置 为 异常 值 并 以 此 来 绕 过 保护 机 制 。 该 保护 机 制 可 以 过 滤 对 SUID/SGID 程序 的 危险 输入 (更 多 
内 容 参 见 第 14 章 ) 。 作 为 一 种 对 策 ，SUID/SGID 程序 可 以 清除 整个 环境 并 将 必需 的 环境 变量 的 子 
集 重 新 设置 为 安全 值 。 

经 验 教训 

继承 你 不 想 要 的 或 者 不 了 解 的 东西 可 能 会 造成 安全 问题 。 


6.6.7 搜索 路 径 


我 们 最 后 要 讨论 的 话题 是 从 “错误 ”位 置 启动 的 程序 。UNIX 用 户 通过 shell ( 命令 行 解释 器 ) 和 
操作 系统 交互 。 为 了 方便 ， 用 户 在 执行 一 个 程序 时 ， 可 以 只 键入 它 的 名 字 而 不 用 说 明 它 在 文件 系 
统 里 的 完整 路 径 名 (full pathname) 。shell 会 依照 用 户主 目录 的 . profile 文件 中 PATH 环境 变量 所 指 
定 的 搜索 路 径 (searehpath ) 查找 程序 (用 1s -a 来 查看 主 目录 里 所 有 文件 ， 用 more . protile 来 查看 这 
个 文件 ) 。 当 找到 一 个 包含 所 给 名 字 的 程序 的 目录 时 ， 搜 索 结束 ， 并 且 执 行 那个 程序 。 典 型 的 搜 
索 路 径 如 下 所 示 : 


PATH =. : S$HOME/bin: /usr/ucb: /bin: /usr/bin: /usr/local: /usr/new: /usr/hosts 


在 这 个 例子 里 ， 搜 索 路 径 里 的 目录 用 :” 分 隔 。 第 一 个 条 目 “.“ 是 当前 目录 。 于 是 就 可 能 以 
这 样 的 方式 插入 特洛伊 木马 : 给 木马 取 一 个 和 现 有 程序 一 样 的 名 字 ， 把 它 放 在 一 个 比 存放 原始 
程序 的 目录 更 早 搜索 到 的 目录 中 。 

为 了 防止 这 样 的 攻击 ， 就 要 完整 路 径 名 来 启动 程序 ， 比 如 ， 用 /bin/su 而 不 是 su。 当然 ， 需 
要 确定 当前 目录 不 在 根 用 户 执行 的 程序 的 搜索 路 径 上 。 


6.6.8 EWE 


目前 ， 我 们 所 提 到 的 访问 控制 和 审计 机 制 并 不 复杂 。 它 们 和 操作 系统 安全 的 传统 一 致 ， 集 中 
在 对 资源 的 访问 控制 上 。 还 有 可 能 通过 巧妙 地 使 用 基本 的 访问 控制 机 制 实现 对 中 间 层 的 控制 。 
此 外 ,我们 还 可 以 修改 UNIX 本 身 来 实现 这 个 目标 。 这 里 的 难点 是 找到 这 样 一 个 UNIX 组 件 ， 我 
们 可 以 通过 修改 它 来 增加 有 用 的 安全 机 制 ， 同 时 不 会 影响 到 操作 系统 的 其 他 部 分 。 考 虑 到 UNIX 
的 复杂 性 ， 这 个 任务 并 不 轻松 。 

TCP 包 于 层 非常 精彩 地 说 明了 这 样 的 设计 方法 。UNIX 的 网 络 服务 ， 比 如 telnet 和 ftp, AHR 
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照 如 下 的 原则 建立 的 。inetd 守护 进程 监听 外 来 的 网 络 连接 请 求 。 当 连接 建立 后 ，inetd 启动 相应 
的 服务 程序 ， 然 后 再 转 去 监听 新 的 连接 请 求 。 这 个 守护 程序 被 叫做 超级 服务 器 ( super- server) , 
因为 它 为 许多 服务 程序 工作 。inetd 守护 进程 有 一 个 配置 文件 将 服务 (端口 号 ) 映 射 到 程序 上 。 该 
配置 文件 格式 如 下 : 

service type protocol waitflag userid executable command- line 

(服务 类 型 ”协议 等 待 标识 ”用 户 卫 ”可 执行 程序 ”命令 行 ) 

比如 ，teinet 的 条 目 是 : 


telnet stream tcp nowait root /usr/bin/in. telnetd in. telnet 
当 inetd 接收 到 一 个 服务 请 求 ， 它 会 先 查看 配置 文件 ， 然 后 创建 一 个 新 进程 以 运行 指定 的 可 执行 
程序 。 这 个 新 进程 的 名 字 将 被 更 改 为 在 命令 行 字段 中 给 出 的 名 字 。 

一 般 情 况 下 ， 可 执行 文件 的 名 字 和 命令 行 字段 中 给 出 的 名 字 相 同 。 这 个 元 余 开 启 小 伎俩 的 
方便 之 门 。 把 inetd 守护 进程 指向 一 个 包 训 层 程序 ( wrapper program) ， 而 不 是 原来 的 可 执行 程序 。 
使 用 进程 的 名 字 来 记 住 原来 的 可 执行 程序 ， 在 包 襄 层 里 执行 完 安全 控制 之 后 ， 原 来 的 可 执行 程 
序 就 被 执行 了 。 在 我 们 的 例子 里 ， 配 置 文件 中 teinet 的 条 目 可 被 替换 为 : 


telnet stream tcp nowait root /usr/bin/tcpd in. telnet 


REPUTE SLE RR T/usr/bin/tcpd, RPAARRTATET. BITER EF EE 
然 叫做 in. telnet, ZEEE, FAP AT DAE Te a ed Ho ERR 
的 应 用 中 ， 包 庄 层 被 用 来 进行 P iiti nE 13). ABR MAECENAS, On 
/usr/bin. in. telnet， 知 道 它 的 名 字 ， 如 in. telnet， 因 此 它 可 以 调用 原来 的 服务 程序 ， 如 /usrbin 
/in. telinet。 在 用 户 看 来 没有 任何 差别 ， 他 们 接受 的 服务 和 以 前 一 样 。 

经 验 教 训 

在 计算 机 科学 里 ， 再 增加 的 间接 层 异 常 强 大 。 在 安全 上 ， 它 可 以 用 来 攻击 或 者 保护 系统 。 通 
过 在 inetd 守护 进程 和 服务 程序 之 间 插 人 TCP 包 详 层 ， 可 以 在 不 改变 守护 进程 和 服务 器 程序 源 代 
码 的 情况 下 增加 安全 控制 。 

这 个 例子 的 优点 在 于 它 的 通用 性 。 同 样 ， 同 样 的 机 制 可 以 用 来 保护 一 整套 UNIX 网 络 服务 。 

经 验 教训 

TCP 包 豪 层 结合 了 一 个 基本 的 设计 原则 ( 受 控 调用 ) 和 一 个 完美 的 技巧 ， 使 得 在 不 改变 这 些 
服务 程序 的 情况 下 增加 新 的 安全 机 制 成 为 可 能 。 在 更 新 已 有 的 系统 以 加 入 新 的 安全 特性 的 时 候 ， 
这 便 是 非常 理想 的 情况 。 


6.7 管理 问题 
我 们 将 快速 地 讨论 一 些 有 关 管 理 UNIX 系统 操作 安全 的 问题 。 
6.7.1 管理 超级 用 户 


操作 系统 使 用 root 账户 来 执行 自己 基本 的 任务 以 及 其 他 系统 管理 任务 。 因 为 超级 用 户 的 权 
限 极 大 ， 所 以 它们 是 UNIX 主要 的 弱点 。 获 得 超级 用 户 身份 的 攻击 者 能 够 有 效 地 接管 整个 系统 。 
因此 ， 必 须 十 分 灌 慎 地 控制 对 超级 用 户 身份 的 访问 。 

攻击 者 可 以 通过 将 其 自身 的 UD 修改 为 0 从 而 成 为 超级 用 户 。 因 此 ， 必 须 对 /etc/passwd 和 
/etc/group 文件 进行 写 保护 。 为 了 减 小 这 种 威胁 的 影响 ， 可 以 划分 管理 者 的 职责 ， 比 如 创建 uucp 
或 者 deamon 用 户 来 处 理 网 络 。 这 样 的 话 ， 即 使 某 个 用 户 受到 威胁 ， 也 不 会 影响 到 全 部 用 户 。 系 
统管 理 者 不 应 该 将 root 用 作 个 人 账户 。 在 必要 的 时 候 ， 可 以 通过 键 和 人 /bin/su( 不 需要 指定 用 户 
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名 ) 切 换 到 root。 操 作 系统 不 会 引用 存放 于 另 一 个 目录 中 的 su 程序 。 在 审计 日 志 中 记录 su 命令 的 
使 用 以 及 使 用 su 命令 的 用 户 账 户 。 


6.7.2 可 信 主 机 


在 友好 的 环境 下 ， 尽 管 有 大 量 不 同 的 主机 被 访问 ， 但 对 用 户 进 行 一 次 身份 认证 已 经 足 
To Œ UNIX 中， 可 信 主 机 (tmsted host) 支 持 这 种 操作 模式 。 来 自 可 信 主 机 的 用 户 不 需要 
口令 认证 就 可 以 直接 登录 。 只 要 他 们 在 双方 的 主机 上 都 有 相同 的 用 户 名 就 可 以 了 。/etc/ 
hosis. equiv 文件 中 描述 了 机 器 的 可 信 主 机。 用 户主 目录 中 的 . rhosts 文件 描述 了 用 户 的 可 信 
主机 。 

随 着 主机 数量 的 增加 ， 任 务 变 得 单调 乏味 ， 因 此 用 户 名 必须 在 主机 之 间 同 步 。( 有 一 些 特定 
厂商 的 配置 工具 可 供 使 用 。) 一 旦 主机 被 列 人 /etc/hosts. equiv 文件 ， 该 主机 上 的 所 有 用 户 都 拥有 
了 访问 权限 。 很 难 对 例外 用 户 进 行 设置 。 


6.7.3 审计 日 志 与 入 侵 检 测 


一 旦 系统 安装 好 并 投入 运行 之 后 ， 其 安全 机 制 就 应 该 阻止 非法 用 户 的 操作 。 然 而 ， 保 护 机 制 
并 不 够 或 者 存在 缺陷 。 不 恰当 的 安全 设置 可 能 无 法 有 效 地 保持 系统 持续 运行 。 因 此 ， 在 安全 漏洞 
发 生 时 或 者 发 生 后 ， 采 取 进 一 步 的 安全 机 制 检 测 安全 违背 或 者 其 他 相关 的 安全 事件 很 有 必要 。 
一 些 安全 相关 的 事件 被 自动 记录 在 UNIX 的 日 志文 件 中 。 

è /usr/adm/lastlog 一 记录 用 户 上 次 登录 时 间 ; 该 信息 可 用 finger 命令 查看 。 

e /var/adm/utmp 一 记录 账户 信息 ， 可 用 who 命令 查看 。 

© /var/adm/ wtmp 一 记录 用 户 每 次 登录 或 登 出 时 间 ; 该 信息 可 用 last 命令 查看 。 为 了 防止 该 

文件 占据 所 有 的 存储 空间 ， 每 隔 一 段 时 间 该 文件 会 被 自动 删 减 。 

© /var/adm/acct 一 记录 所 有 执行 过 的 文件 ; 该 信息 可 用 lastcomm 命令 查看 。 

这 些 文 件 确切 的 名 字 以 及 位 置 ， 在 用 户 的 UNIX 系统 上 可 能 有 所 不 同 。 记 账 功能 ， 
由 accton 命令 打开 ， 也 能 用 于 审计 目的 。find，grep，ps，users 命令 可 用 于 进一步 查看 
UNIX 系统 。 

检查 上 述 日 志文 件 中 与 安全 相关 的 事件 清单 。 这 些 事件 绝 大 多 数 与 用 户 相 关 ， 因 此 日 志 条 
目 应 该 包括 引发 事件 的 进程 的 UD。 那么 审计 又 是 怎样 被 SUID 程序 所 影响 的 呢 ? 这 样 的 程序 是 
以 其 属 主 的 UID 运行 的 ， 而 不 是 以 用 户 的 UD 来 运行 程序 的 。 因 此 ， 日 志 表 项 也 应 该 包括 进程 
的 真实 UID。 

经 验 教训 

用 户 标识 是 一 个 安全 属性 ， 使 用 它 有 两 个 目的 ， 访 问 控制 和 问 责 性 。 并 不 总 是 有 可 能 同时 为 
了 两 个 目的 使 用 这 个 属性 。 只 要 UID 对 应 于 真实 的 用 户 ， 基 于 许可 的 访问 控制 和 审计 就 相互 依 
存 。 一 旦 创建 了 一 个 利用 SUD 或 者 SGD 程序 保护 对 资源 的 访问 的 特殊 的 用 户 标识 ， 就 同时 拥 
有 了 一 个 在 审计 方面 有 特定 应 用 的 属性 。 


6.7.4 安装 与 配置 


操作 系统 生命 周期 中 的 一 个 关键 点 就 是 安装 。 操 作 系 统 有 许多 安全 特性 和 影响 安全 的 特性 ， 
其 中 一 些 没有 被 公开 。 从 历史 的 观点 上 来 说 ， 默 认 设置 有 利于 顺利 地 安装 和 操作 ,但 同时 它 给 予 
了 维护 工程 师 和 系统 管理 员 太 多 的 特权 。 正 确 的 做 法 是 : 像 限制 每 一 个 别 的 用 户 一 样 限制 系统 
管理 员 ， 并 分 清 系 统管 理 员 和 安全 管理 员 的 角色 。 复 杂 并 且 未 完全 公开 的 安全 特性 可 能 会 让 系 
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统 的 安装 变 得 非常 困难 ， 所 以 制定 安全 策略 很 急迫 。UNIX 本 身 并 未 给 系统 管理 员 的 工作 带 来 
便利 。 
。 系统 管理 员 必 须 熟 知 所 有 与 安全 相关 的 文件 以 及 安装 以 后 如 何 对 危险 的 默认 设置 做 
修改 。 
。 系统 安装 后 ， 安 全 相关 的 参数 用 标准 的 UNIX 编辑 命令 定义 。 对 资源 访问 的 许可 设置 在 更 
接近 操作 系统 的 层次 而 非 应 用 层 。 比 如 ， 通 过 编辑 类 似 /etc/passwd 的 文件 创建 用 户 。 用 
以 下 的 命令 保护 passwd 程序 : 
chmod 4750 /bin/passwd chgrp staff /bin/passwd 
。 在 审计 系统 时 ， 要 使 用 UNIX 搜索 命令 。 比 如 用 下 面 的 指令 扫描 没有 口令 的 账户 : 
awk -F: ’length( $2) <1 print $1’ < /etc/passwd 
搜索 SUID 和 SGID 的 命令 : 


find-type f(-perm 2000 -o -perm 4000) -exec 1s -ld {}; 


(有 经 验 的 UNIX 用 户 以 能 够 编写 这 类 命令 而 引 以 为 荣 ， 但 一 般 用 户 认为 很 难以 这 种 方式 
管理 系统 。) 
。 可 以 通过 简单 的 自主 访问 控制 支持 访问 控制 策略 。 结 构 化 保护 可 以 基于 组 成 员 关 系 ( gfoup 
membership) 和 使 用 被 禁止 的 账户 来 实现 。 
有 许多 附加 的 UNIX 安全 产品 可 以 用 来 管理 安全 特性 以 及 检查 当前 安全 状态 。 两 个 流行 的 检 
测 工具 是 COPS( Framer and Spafford4，1990) 和 SATAN。 它们 可 搜索 已 知 的 安全 漏洞 ， 比 如 弱 口 
令 、 文 件 和 目录 的 不 安全 许可 设置 ， 或 者 畏 形 的 配置 文件 。 系 统管 理 员 可 以 使 用 这 些 工 具 来 检测 
他 们 所 管理 的 系统 中 的 漏洞 。 不 过 ， 这 种 做 法 不 太 普遍 ， 因 为 它们 可 以 被 攻击 者 用 来 实现 几乎 相 
同 的 目的 。 


6.8 深层 阅读 


这 一 章 对 UNIX 安全 进行 了 概览 。 如 果 你 想 要 更 全 面 地 了 解 这 些 内 容 ， 有 关 这 方面 的 书籍 很 
和 多， 比如 Curry(7992 ) Ferbrache and Shearer( 1992) Garfinkel, Spafford and Schwartz( 2003 ) 的 
著作 。 如 果 你 需要 有 关 特 定 UNIX 版 本 的 信息 ， 请 查询 制造 商 提 供 的 文档 和 系统 提供 的 在 线 文 档 
(使 用 手册 ) o Œ Samalin( 1997) 的 著作 中 讨论 了 多 级 安全 UNIX 系统 。 在 网 上 可 以 找到 有 关 增 强 
安全 性 (Security Enhanced, SE) Linux 的 信息 。 来 自 计 算 机 紧急 响应 组 (CERT) 的 安全 建议 可 以 帮 
助 你 关注 最 新 的 安全 漏洞 信息 。 


6.9 练习 


练习 6. 1 查看 安全 相关 命令 的 在 线 文档 。 找 到 在 /etc/passwd 中 你 自己 的 条 目 ， 并 查看 你 
的 文件 和 目录 的 许可 权 设置 。 

练习 6.2 在 你 的 目录 下 创建 一 个 子 目 录 ， 放 人 一 个 带 有 短 消 息 的 welcome. txt 文件 。 将 这 
个 子 目 录 的 许可 属性 设置 为 属 主 可 执行 ， 然 后 : 

。 用 cd 命令 使 该 子 目录 成 为 当前 目录 。 

。 列 出 该 子 目录 的 文件 清单 。 

e 显示 welcome. txt 文件 的 内 容 。 

。 在 该 子 目录 中 创建 welcome. txt 文件 的 一 个 拷贝 。 

再 分 别 对 该 子 目录 设置 读 许 可 和 写 许 可 ， 重 复 上 述 练习 。 

练习 6.3 哪 条 UNIX 命令 可 以 列 出 你 的 目录 下 其 他 人 可 写 的 文件 ? 
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练习 6.4 你 怎样 保护 一 个 终端 设备 (tty ) 不 被 其 他 用 户 访问 ? 

练习 6.5 你 能 够 在 VSTa 能 力 框架 (4. 7.4 节 ) 下， 通过 UID. GID 和 许可 权 ， 来 捕获 UNIX 
的 访问 控制 吗 ? 

练习 6.6 应 用 UNIX 安全 机 制 实现 Chinese Wall 模型 和 Clark- Wilson 模型 ? 

练习 6.7 ”你 应 该 怎样 建立 备份 过 程 来 减少 安全 漏洞 ? 

练习 6.8 就 你 看 来 ，UNIX 系统 安全 的 长 处 和 弱点 是 什么 ? 就 此 写 一 篇 1000 FEA R 
报告 。 





第 7 章 Windows 2000 安全 


UNIX 的 访问 控制 将 所 有 的 对 象 统一 地 视 为 资源 。 相 反 ，Windows 2000 的 访问 控制 可 以 被 裁 
前 为 单个 的 对 象 类 型 。 因 此 ， 我 们 将 以 Windows 2000 为 例 来 展示 怎样 才 可 能 构件 一 种 更 加 细密 
的 访问 控制 方法 。 需 要 强调 的 是 我 们 并 没有 以 某 个 特定 的 版 本 作为 参考 ， 而 是 基于 Swift et. al. 
(2002) 对 Windows 访问 控制 可 能 的 扩展 的 描述 。 同 其 他 操作 系统 一 样 ，Windows 的 安全 性 是 一 
个 动态 目标 ， 而 Windows 的 设计 原理 更 加 稳定 。 

目标 

© 介绍 Windows 2000 安全 的 基本 概念 。 

。 说明 如 何 通 过 重 定向 实现 更 易于 管理 的 访问 控制 。 

。 说 明 如 何 管理 目录 中 的 访问 权限 的 继承 。 

。 从 基于 身份 的 访问 控制 到 基于 代码 的 访问 控制 。 


7.1 引言 


我 们 不 会 完整 地 介绍 Windows 2000 的 安全 性 或 者 给 出 如 何 充 分 利用 其 安全 特性 的 指导 。 我 
们 的 主要 目标 是 对 比 UNIX 与 Windows 的 安全 机 制 从 而 突出 为 大 家 所 关注 的 安全 特性 ， 这 也 强 
调 了 计算 机 安全 的 根本 性 问题 。 我 们 将 关注 于 原理 并 粗略 地 讲解 其 他 方面 ， 比 如 用 于 管理 安全 
特性 的 图 形 界面 。Windows 2000 获得 了 通用 标准 EAL4 证 书 ( 参 见 10.6 节 )， 该 事实 也 说 明了 
Windows 在 安全 方面 付出 的 努力 。 


7.1.1 体系 结构 


图 7-1 给 出 了 Windows 系统 的 体系 结构 。 正 如 在 UNIX 中 一 样 ， 用 户 模式 (ring 3) 与 内 核 模 
Aling 0) 之 间 被 隔离 开 了 。 硬 件 抽象 层 ( Hardware Abstraction Layer，HAL ) 提 供 了 对 计算 机 硬件 
的 接口 。 核 心 操作 系统 服务 ， 即 Windows 执行 部 件 ， 运 行 于 内 核 模 式 。 执 行 部 件 包括 了 负责 访 
间 控 制 的 安全 引用 监控 器 (Security Reference Monitor) 。 

用 户 程序 通过 应 用 程序 接口 (application program interface, API) 调用 来 操作 系统 的 服务 。 上 
下 文 切换 以 及 从 ring 3 到 ring 0 的 转换 都 是 由 本 地 过 程 调用 (Local Procedure Call) 来 处 理 的 。 设 
备 驱动 程序 (通常 是 第 三 方 产品 ) 运行 于 内 核 模式 。 由 于 它们 自身 代码 中 的 漏洞 会 被 攻击 者 利用 
进而 控制 Windows 系统 ， 比 如 缓冲 超 限 ， 因 此 设备 驱动 程序 也 是 与 安全 紧密 相关 的 。 运 行 于 用 
户 模式 的 安全 子 系统 (security subsystem) 部 件 如 下 : 

© 登录 进程 (Log-on Process, winlogon): 在 用 户 登 录 时 ， 对 用 户 进行 认证 的 进程 。 

e 本 地 安全 权威 (Local Security Authority, LSA): 在 用 户 登 录 时 ， 检 查 有 用 户 账户 并 创建 访 

问 令 牌 (access token), LSA 还 负责 审计 功能 。 
。 安全 账户 管理 员 (Security Account Manager, SAM): 维护 用 户 账户 数据 库 。 在 本 地 用 户 认 
证 期 间 ，LSA 将 使 用 该 数据 库 。 
口令 以 hash 形式 存储 于 SAM 中 。hash 函数 的 特性 表明 无 法 从 存储 于 SAM 中 的 值得 到 口令 。 
此 外 ， 口 令 hash 值 数据 库 已 被 加 密 。 
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图 7-1 Windows 系统 体系 结构 (微软 公司 产品 屏幕 截图 ， 已 获得 微软 公司 许可 ) 


7.1.2 注册 表 


注册 表 (Tegistry) 是 Windows 配置 数据 的 中 央 数 据 库 。 注 册 表 中 的 表 项 称 为 键 (key2? ) 。 用 于 
修改 注册 表 的 工具 称 为 注册 表 编 辑 器 (Registry Editor, Rp Regedit. exe 或 Regedt32. exe) 。 也 可 以 
用 注册 表 编 辑 器 来 查看 注册 表 。 在 注册 表 的 顶层 ， 有 5 个 预定 义 的 重要 键 。 

e HKEY CLASSES _ROOT: 包括 了 文件 扩展 名 关联 ， 比 如 可 以 让 . doc 文件 由 Word 软件 

来 处 理 。 

o HKEY CURRENT _ USER: 当前 登录 用 户 的 配置 信息 。 

e HKEY LOCAL _ MACHINE: 与 本 地 计算 机 相关 的 配置 信息 。 

o HKEY _ USERS: 包括 了 系统 中 已 经 加 载 的 所 有 活动 用 户 的 描述 文件 。 

e HKEY CURRENT CONFIG: 在 系统 启动 时 ， 本 好 计算 机 所 用 到 的 有 关 硬 件 描述 文件 的 信息 。 

注册 表 峰 房 (hive) 是 一 组 键 、 子 键 以 及 键 值 。 与 安全 相关 的 注册 表 蜂 房 有 : 

e HKEY LOCAL MACHINE\SAM 

e HKEY LOCAL _ MACHINE \ Security 

è HKEY _ LOCAL _ MACHINE \ Software 

e HKEY _ CURRENT _ CONFIG 

è HKEY _ USERS\DEFAULT 

在 注册 表 中 ， 可 以 根据 用 户 的 需求 对 系统 进行 裁减 ， 并 设置 默认 的 保护 策略 。 当 然 ， 攻 击 者 
也 可 以 通过 修改 注册 表 项 来 改变 操作 系统 的 行为 。 比 如 注册 表 的 键 指向 操作 系统 搜索 特定 可 热 
行文 件 的 位 置 。 在 Windows 中 ， 这 些 位 置 被 称 为 路 径 (path) 。 如 果 这 类 键 的 许可 设置 较 弱 ， 比 
如 任何 用 户 都 拥有 写 权限 ， 那 么 攻击 者 就 可 以 通过 修改 路 径 来 插入 恶意 软件 。 因 此 必须 保护 注 
册 表 数据 的 完整 性 。 从 那些 不 被 用 来 管理 系统 的 所 有 计算 机 中 删除 注册 表 编 辑 器 是 第 一 道 安全 防 
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线 。 一 些 安全 相关 键 不 应 该 由 注册 表 编 辑 器 修改 ， 而 应 该 通过 特定 的 工具 来 修改 。 

在 对 注册 表 键 设置 访问 控制 策略 的 时 候 ， 你 将 不 得 不 面 对 一 个 进退 两 难 的 问题 : 过 强 的 保 
护 和 使 用 的 方便 是 不 能 够 同时 满足 的 。 在 设置 策略 时 ， 一 个 潜在 的 危险 在 于 未 定义 的 键 。 比 如 ， 
考虑 下 面 这 个 键 表明 哪些 用 户 和 组 可 以 远程 访问 注册 表 。 

HKEY _ LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg 

如 果 这 个 键 存 在 ， 当 用 户 请 求 远程 访问 注册 表 时 ， 将 访问 该 键 。 如 果 该 键 不 存在 ， 就 不 需要 
会 对 远程 访问 执行 任何 检查 。 这 会 使 得 对 注册 表 的 远程 访问 就 和 本 地 访问 一 样 。 


7.1.3 域 


单独 的 Windows 计算 机 通常 由 用 户 在 本 地 进行 管理 。 然 而 ， 在 组 织 机 构 中 ， 必 须 采 用 一 种 
更 加 结构 化 的 方法 来 进行 系统 管理 以 及 安全 管理 。 作 为 计算 机 网 络 中 的 用 户 ， 你 不 愿意 在 访问 另 
一 台 计 算 机 上 的 服务 和 资源 时 重复 地 输入 口令 。 作 为 计算 机 网 络 的 管理 员 ， 你 可 能 不 想 对 每 一 台 计 
算 机 进行 单独 配置 。Windows 2000 使 用 域 (domain) 来 实现 一 次 签到 以 及 集中 式 的 安全 管理 。 

域 是 共享 公用 用 户 账户 数据 亩 和 安全 策略 的 计算 机 集合 。 域 可 以 构成 层次 结构 。 用 户 不 在 
每 台 计算 机 上 创建 账户 ， 但 需要 域 账户 。 

在 域 中 ， 要 有 一 台 服 务 器 充当 域 控制 器 (DC，domain controller)。 接 着 ,其 他 计算 机 将 加 入 
到 这 个 域 中 。 域 管理 员 (domain admin ) 创 建 并 管理 这 个 域 中 的 用 户 和 组 。 域 控制 器 权威 搜 有 与 用 
户口 令 相 关 的 信息 ， 并 且 能 在 用 户 向 其 他 实体 认证 其 自身 的 时 候 充当 第 三 方 可 信 当 事 人 。 在 这 
里 ， 就 已 经 做 出 了 集中 式 认证 (口令 管理 ) 服务 的 设计 决策 。 

域 可 以 拥有 多 个 域 控 制 器 ， 可 以 在 任何 一 个 域 控制 器 中 进行 更 新 操作 ， 并 且 通 过 多 主 复制 
模型 传播 更 新 。 当 今 ， 分 布 式 服 务 被 作为 用 于 获取 更 好 的 性 能 的 设计 决策 。 


7.1.4 活动 目录 


对 象 被 组 织 在 活动 目录 ( Windows 2000 FHERR) 中 。 活 动 目录 可 以 被 看 作 一 棵 由 特定 
类 型 对 象 所 构成 的 树 (图 7-2) 。 容 器 是 可 以 包含 其 他 对 象 的 对 象 。 活 动 目录 可 以 通过 添加 新 的 对 
象 类 型 以 及 为 已 存在 的 对 象 类 型 添加 新 属性 动态 扩展 。 因 此 ， 用 户 可 以 根据 自己 的 需要 来 裁剪 
对 象 类 型 。 每 一 种 对 象 类 型 ( object type) 都 有 一 个 特定 的 属性 以 及 一 个 唯一 的 GUID ( globally 
unique identifier) 。 此 外 ， 每 一 种 属性 都 有 自己 的 GUID。 在 图 7-2 中 ,描述 了 一 个 具有 姓名 
(name) 、E- mail、 地 址 (address) 以 及 房间 (room) 的 “员工 ”对 象 和 一 个 具有 模式 (mode) 和 房间 
(room) 的 打印 机 对 象 。 











图 7-2 目录 树 


从 导 辑 上 来 说 ， 不 同类 型 的 相关 对 象 可 以 放 在 相同 的 容器 中 。 这 对 结构 中 的 资源 管理 是 有 
用 的 ， 因 为 不 需要 为 不 同 的 对 象 类 型 建立 不 同 的 结构 ， 还 因为 可 以 使 用 目录 结构 来 为 容器 定义 
通用 的 访问 策略 并 让 容器 内 的 对 象 继 承 策 略 (参见 7.3.3 节 )。 
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7.2 访问 控制 一 组件 


Windows 的 访问 控制 比 典 型 文件 系统 的 访问 控制 更 加 复杂 。 访 问 控制 可 以 应 用 于 文件 、 注 册 
表 键 以 及 活动 目录 对 象 等 。Windows 2000 的 结构 化 策略 是 组 、 角 色 以 及 继承 。 下 一 节 将 讲解 
Windows 2000 的 主角 、 主 体 以 及 对 象 ， 以 及 在 哪里 可 以 找到 访问 控制 规 ， 如 何 评估 这 些 规则 。 


7.2.1 主角 


主角 是 安全 策略 中 的 活动 实体 。 它 们 是 可 以 被 允许 或 拒绝 访问 的 实体 。 在 Windows 2000 中 ， 
主角 可 以 是 本 地 用 户 、 别 名 、 域 用 户 、 组 或 者 是 机 器 。 主 角 有 一 个 人 们 可 读 的 名 字 ( 用 户 名 ) 以 
及 机 器 可 读 的 描述 符号 ， 安 全 标识 符 (security identifier, SID). 

本 地 用 户 是 由 本 地 安全 权威 所 创建 的 用 户 。 本 地 主角 (Local principal ) 是 在 本 地 管理 并 且 只 
对 本 地 计算 机 可 见 的 。 例 如 : 本 地 系统 ， 即 操作 系统 以 及 本 地 用 户 。 本 地 用 户 或 别名 的 可 被 人 们 
读 懂 的 名 字 具 有 如 下 形式 : 

principal = MACHINE \ principal , 

比如 ,“TUHH- 688432\Administrators”。 可 以 通过 以 下 命令 在 命令 行 ? 下 显示 用 户 和 别名 : 

e net user 

è net localgroup 

域 主角 (domain principal) 由 域 控制 器 上 的 管理 员 管理 ， 比 如 域 用 户 和 域 管理 员 别 名 ， 它 们 对 域 
中 的 所 有 计算 机 都 是 可 见 的 。 域 用 户 、 组 、 别 名 或 者 机 器 的 可 被 人 们 读 懂 的 名 字 具 有 如 下 形式 : 

principal@ domain = DOMAIN Principal , 

比如 , “diego@ europe. microsoft. com = EUROPE \diego”。 可 以 通过 向 命令 行 中 输入 如 下 命令 显示 
域 用 户 、 组 以 及 别名 : 

enet user /domain 

e net group /domain 

e net localgroup /domain . 

存在 通用 的 主角 (universal principal) ， 比 如 Everyone 别名 。 有 关 主 角 的 信息 存储 在 账户 和 用 
户 描述 文件 中 。 本 地 账户 存储 于 注册 表 中 (位 于 HKEY _ USERS 键 下 ) 。 域 账户 存储 于 DC 中 ， 
但 是 被 本 地 缓存 了 。 上 账户 描 述 文件 存储 于 文件 系统 中 ， 位 于 ”\ Documents and Settings\ “目录 
下 。 一 些 预 定义 的 主角 不 需要 存放 在 任何 地 方 。 

1. 组 和 别名 

SID 是 一 个 单独 的 主角 。( 全 局 ) 组 是 一 个 由 DC 管理 的 SID 构成 的 集合 。 组 有 自己 的 组 
SID， 因 此 组 可 以 被 识别 。 组 的 用 户 可 以 使 用 分 配给 该 组 的 特权 和 许可 。 组 构成 了 控制 中 间 层 。 
对 象 的 许可 分 配给 了 组 。 通 过 将 用 户 变 成 组 的 成 员 ， 用 户 就 被 给 予 了 对 对 象 的 访问 权限 。 

别名 (本 地 组 ) 是 由 DC 或 本 地 管理 的 用 户 和 组 SID 构成 的 集合 。 别 名 不 可 识别 。 别 名 被 用 于 
实现 软 辑 用 户 。 应 用 程序 开发 者 可 以 参考 别名 Student。 在 部 署 时 ， 一 个 合适 的 SD 被 分 配给 该 
别名 。 别 名 并 非 4. 6. 3 节 中 定义 的 “角色 ”。 

2. 安全 标识 符 

SID 的 格式 为 S- R-I- SA- SA- SA-N， 其 中 

S: 字符 S 





O Mare", RELET”, WA cmd， 再 键 人 命令 。 
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R: 更 正 号 (当前 为 1) 。 

I: 身份 权威 (48 比特 ) 。 

SA: 子 权威 (32 比特 ) 。 

N: 相对 描述 符 ， 在 权威 名 空间 中 是 唯一 的 。 

下 面 的 清单 给 出 了 上 典型 的 主角 以 及 它们 的 SID. 

è Everyone( World); S-1-1-0, 

e SYSTEM; S-1-5-18; 操作 系统 以 S-1-5-18 运行 于 本 地 机 器 上 ; 对 于 域 中 的 其 他 机 器 而 

言 ， 该 机 器 有 一 个 单独 的 特定 域 SID。 

。 管理 员 : S-1-5-21- < 本 地 权威 > -500; 用 户 账户 是 在 操作 系统 安装 期 间 创建 的 。 

。 管理 员 组 : S-1-5-32-544; 具有 管理 员 特 权 的 内 置 组 ; 最 初 它 只 包括 管理 员 账 户 。 

o 本 地 管理 员 : S-1-5-21- < 域 权威 >-512; 全 局 组 是 域 中 所 有 计算 机 管理 员 别 名 的 一 个 成 员 。 

e RFE; S-1-5-21- < 权威 >-501; < 权威 > 字段 是 一 个 96 比特 的 唯一 的 机 器 或 域 描 述 符 ， 

该 描述 符 是 Windows 或 DC 安装 时 创建 的 。 

SID 是 在 创建 用 户 账户 或 者 修改 已 经 到 期 的 账户 时 创建 的 。 由 于 在 创建 过 程 中 使 用 了 伪 随 机 
输入 (时 钟 值 ) ， 如 果 删 除了 账户 然后 用 与 以 前 相同 的 参数 创建 账户 ， 将 不 可 能 得 到 相同 的 SID. 
因此 ， 新 的 账户 不 会 保留 给 予 原 有 账户 的 访问 许可 。 

在 创建 域 的 同时 ,会 为 该 域 创建 一 个 唯一 的 SD。 在 一 台 工 作 站 或 服务 器 加 入 一 个 域 的 时 
候 ， 它 会 收 到 一 个 包括 了 这 个 域 的 SD 的 SID( 计 算 机 使 用 它们 的 SD 来 检查 它们 是 否 位 于 同一 个 
itp), FF SID 不 能 被 修改 ， 要 想 在 不 同 域 之 间 移 动 DC 并 不 是 一 件 简单 的 管理 工作 。 必 须 完全 
重 装机 器 并 使 其 逻辑 上 成 为 一 台 “ 新 的 "机 器 从 而 接收 新 的 SD ， 这 样 才 能 成 为 新 的 域 中 的 控制 器 。 


7.2.2 主体 


主体 就 是 操作 系统 中 的 活动 实体 。 在 Windows 2000 中 ， 主 体 指 进程 


组 和 别名 安全 标识 符 


和 线程 。 进 程 或 线程 的 安全 凭证 存放 在 访问 令 牌 (access token) H, 

SID 用 作 身 份 识别 和 认证 属性 。 令 牌 也 包括 了 分 配给 这 些 SID 的 所 有 
特权 的 联合 。 新 对 象 的 默认 值 包 括 了 诸如 属 主 SID、 组 SID 和 DACL( 在 
7.2.3 节 中 解释 ) 等 。 各 种 实体 都 包括 了 登录 会 话 D ARSH ID, SH 
的 某 些 字段 是 只 读 的 ， 其 他 字段 可 以 修改 。 一 个 新 的 进程 在 一 定 的 限制 条 
件 可 获得 其 父 进程 的 访问 令 牌 。 即 便 成 员 资 格 或 者 特权 被 撤销 ， 令 牌 也 不 会 改变 。 因 为 进程 可 以 
提前 决定 它 是 否 有 权 访 问 一 个 特定 的 任务 ， 所 以 这 就 提高 了 系统 的 性 能 和 稳定 性 。 

1. 特权 

特权 控制 着 对 系统 资源 的 访问 。 特 权 由 语法 名 字 而 唯一 标识 ， 比 如 SeTcbPrivilege， 特 权 还 
具有 一 个 用 于 显示 的 名 字 ， 比 如 “作为 操作 系统 的 一 部 分 ”。 特 权 被 分 配给 每 一 台 计 算 机 上 的 用 
户 、 组 以 及 别名 。 它 们 作为 本 地 唯一 的 标识 符 (LUID ) 被 缓存 于 令 牌 中 。 特 权 不 同 于 访问 权限 ， 
后 者 控制 对 安全 对 象 (securable object) 的 访问 。 典 型 的 特权 有 : 

。 备份 文件 和 目录 。 

。 生成 安全 审计 。 

。 管理 和 审计 安全 日 志 。 

。 接管 文件 和 目录 的 所 有 关系 R。 

e。 绕 过 遍历 检查 。 

© 允许 计算 机 和 用 户 账户 作为 可 信 代 表 。 
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© 关闭 系统 。 

2. 用 户 认 证 一 交互 登录 

Windows 用 户 可 以 通过 用 户 名 和 口令 进行 认证 ，Windows 也 支持 其 他 认证 方式 ， 比 如 使 用 智 
能 卡 进行 认证 。 在 登录 计算 机 的 时 候 ， 用 户 通 过 按 下 安全 警示 序列 ( Ctrl + Alt + Del) 来 启动 认证 
过 程 。 该 序列 调用 Windows 操作 系统 的 登录 屏幕 并 在 键盘 和 登录 进程 (winlogon. exe) 之 间 提 供 一 
条 可 信和 路 径 。 登 录 对 话 框 是 由 GINA DLL (Graphical Identification and Authentication dynamic- link 
library ， 图 形 识 别 动态 链接 库 ) 创 建 的 。 登 录 进 程 将 (以 SYSTEM 主角 ) 一 直 运 行 。 

为 了 避免 欺骗 攻击 ， 在 开始 会 话 的 时 候 一 定 要 按 Ctrl + Alt + Del， 即 使 登录 屏幕 已 经 显示 了 
也 应 该 如 此 。 安 全 警示 键 可 产生 对 低级 Windows 函数 的 调用 ， 而 这 些 薄 数 不 可 能 通过 应 用 程序 
来 复制 。 只 有 在 计算 机 真正 运行 起 来 之 后 ， 这 一 可 信 路 径 才 是 可 见 的 。 运 行 其 他 操作 系统 的 计算 
机 可 以 模拟 Windows 的 登录 屏幕 来 发 动 欺 骗 攻 击 ( Hadfield, Hatter and Bixler, 1997) 。 

Windows 提供 了 显示 法 律 公 告 对 话 框 的 选项 作为 警告 消息 。 在 登录 继续 进行 之 前 ， 用 户 必须 
确认 这 一 警告 消息 。 接 下 来 要 求 用 户 输入 用 户 名 和 口令 。 登 录 进 程 获取 到 用 户 名 和 口令 并 传递 
给 LSA(lsass. exe) 。 对 于 本 地 登录 而 言 ， 本 地 LSA 调用 认证 包 (authentication package ) 来 将 用 户 
名 和 口令 与 存储 在 账户 数据 库 中 的 值 进行 比较 。 当 找到 一 个 匹配 的 时 候 ，SAM 就 将 用 户 的 SID 
和 用 户 所 属 的 组 的 SD 返回 给 LSA。 域 登录 使 用 Kerberos， 并 且 用 户 是 由 DC 上 的 LSA 认证 的 。 
然后 ，LSA 创建 包括 了 用 户 SID 和 特权 的 访问 令 牌 并 将 该 令 牌 传递 给 登录 进程 。 

3. 创建 主体 和 网 络 登 录 

下 一 步 ， 登 录 进 程 在 新 的 登录 会 话 中 以 被 认证 用 户 ( 主 角 ) 的 身份 启动 一 个 shell 
(explorer. exe) ， 并 且 将 访问 令 牌 附着 到 该 进程 上 ， 见 图 7-3。shell 创建 的 进程 都 位 于 同一 个 会 话 
中 。 这 些 进程 就 是 访问 控制 目的 的 主体 。 退 出 会 终止 会 话 以 及 会 话 中 的 所 有 进程 。 








explorer.exe 








powerpnt.exe 
图 7-3 实例 : 用 户 会 话 中 的 进程 


进程 可 以 通过 调用 CreateProcess 创建 新 的 本 地 主体 (进程 ) 。 新 进程 得 到 其 父 进程 令 牌 的 一 
个 拷贝 。 每 一 个 进程 都 有 自己 的 令 牌 。 在 登录 会 话 中 的 不 同 进程 可 以 有 不 同 的 信任 赁 证。 线程 可 
以 被 分 配 不 同 的 令 牌 。 

在 交互 登录 会 话 ( interactive logon session) H, APM MAE, LMNs, PRA Tz 
来 。 那 么 ， 进 程 可 以 为 其 他 机 器 上 的 用 户 创建 网 络 登 录 会 话 (network logon session), MERRE 
话 通 常 不 会 缓存 凭证 。 在 Windows 2000 中 ， 机 器 是 主角 并 且 在 域 中 拥有 一 个 带 有 口令 的 机 器 账 
户 。 因 此 ，DC 也 能 够 认证 机 器 。 


7.2.3 对 象 


对 象 是 访问 操作 中 的 被 动 实体 。 在 Windows 2000 中 ， 执 行 对 象 (executive object) 包括 进程 或 
线程 ， 而 文件 系统 对 象 (filesystem object) 包括 文件 或 目录 。 其 他 对 象 包括 注册 表 键 和 设备 ， 比 如 
打印 机 。 安 全 对 象 具有 安全 描述 符 (security descriptor) 。 内 置 对 象 的 安全 描述 符 是 由 操作 系统 管 
理 。 私 有 对 象 的 安全 描述 符 必须 由 应 用 程序 自己 管理 。 创 建安 全 对 象 可 能 是 一 件 很 枯燥 的 事情 ， 
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但 是 这 样 可 以 实现 粒度 更 小 的 访问 控制 。 

1. 安全 描述 符 

安全 描述 符 具 有 如 下 结构 : 

属 主 安全 标识 符 域 表 明了 对 象 的 属 主 。 在 创建 对 象 的 时 候 ， 它 们 就 具 
有 了 属 主 。 属 主 通常 是 具有 READ _ CONTROL 和 WRITE _ DAC 许可 的 
主角 。 属 主 关系 也 可 以 通过 “接管 对 文件 和 其 他 对 象 的 所 有 关系 "( SeTake 
OwnershipPrivilege) 。 主 组 ( Primary Group) 是 为 了 与 POSIX 兼容 而 引入 的 。 自 主 访问 控制 列表 
(Discretionary Access Control List, DACL) 定义 了 谁 将 被 给 予 或 拒绝 对 对 象 的 访问 。 系 统 访问 控 
制 列表 (System Access Control List, SACL) 定义 了 该 对 象 的 审计 策略 。 

2. 许可 

许可 是 对 某 一 对 象 进行 特定 操作 的 授权 。 单 击 文件 ， 然 后 单 击 “ 属 性 ”， 最 后 单 击 “ 安 全 ”， 
这 样 就 可 以 查看 文件 许可 。 访 问 权限 (access right) 对 应 于 可 以 施加 于 对 象 的 操作 。 应 用 于 大 多 数 
对 象 类 型 的 标准 访问 权限 (standard access right) 有; 

e DELETE: 删除 对 象 。 

e READ _ CONTROL: 对 所 有 者 、 组 、DACL 的 读 权限 。 

e WRITE DAC; 对 DACL 的 写 权限 。 

e WRITE _ OWNER: 对 属 主 的 写 权限 。 

e SYNCHRONIZE: 使 进程 等 待 一 个 对 象 进入 置 位 状态 。 

在 Windows 2000 中 ， 可 以 为 每 一 类 对 和 象 制定 特定 的 访问 权限 。 这 样 ， 访 问 权限 就 可 以 适应 
于 应 用 程序 的 需求 ， 但 这 样 一 来 开发 者 必须 潜在 地 记忆 大 量 的 特殊 权限 。 为 了 解决 这 个 问题 ， 可 
以 使 用 通用 访问 权限 ( generic access right) 作为 中 间 描 述 层 。 每 一 类 对 象 都 具有 从 通用 访问 权限 到 
真实 访问 权限 的 映射 ， 因 此 就 没有 必要 记忆 文件 和 目录 的 特定 类 型 的 访问 许可 。 表 7-1 列 出 了 文 
件 的 通用 访问 权限 。 通 用 访问 权限 有 : 

e GENERIC _ READ 

e GENERIC _ WRITE 

e GENERIC EXECUTE 

e GENERIC _ ALL 





表 7-1 文件 和 目录 的 通用 访问 权限 映射 











GENERIC _ EXECUTE FILE _ READ _ ATTRIBUTES 
STANDARD _ RIGHTS _ EXECUTE 
SYNCHRONIZE 

GENERIC _ READ FILE _ READ _ ATTRIBUTES 


FILE _ READ _ DATA 

FILE _ READ _ EA 
STANDARD _ RIGHTS _ READ 
SYNCHRONIZE 





GENERIC _ WRITE FILE _ APPEND _ DATA 
FILE _ WRITE _ ATTRIBUTES 
FILE _ WRITE _ DATA 
FILE _ WRITE _ EA 
STANDARD _ RICHTS _ WRITE 
SYNCHRONIZE 


nn nt 
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7.2.4 HARB 


就 其 内 部 而 言 ， 访 问 请 求 中 所 要 求 的 操作 (请 求 的 权限 ) 以 及 所 准许 的 访问 权限 都 以 访问 掩 
码 的 形式 给 出 。 访 问 掩 码 是 一 个 32 位 的 值 ， 其 各 个 位 的 定义 如 下 : 


0~15 为 请 求 所 引用 的 对 象 定义 的 特殊 权限 
16 ~23 标准 权限 

24 访问 系统 安全 ， 访 问 SACL 必需 条 件 
25 允许 给 予 最 大 权限 

26 ~27 保留 

28 通用 读 写 、 执 行 

29 通用 执行 

30 通用 写 

31 | 通用 读 


设置 MAXIMUM _ ALLOWED 位 时 ， 将 给 主体 该 安全 描述 符 16 删除 
所 人 允许 的 最 大 访问 权限 。 所 给 予 的 最 大 访问 权限 按照 GrantedAc- 7 RER 


cess 进行 编码 。 标 准 权限 的 映射 如 右 表 所 示 。 i praia 
7.2.5 扩展 权限 20 同步 


在 活动 目录 中 ， 也 可 以 为 操作 定义 访问 控制 。 这 样 的 访问 控制 被 叫做 扩展 权限 (extended 
rights) 。 典 型 的 例子 是 Send- As 和 Receive- As， 人 允许 以 指定 的 邮箱 发 送 或 接收 邮件 。 扩 展 权限 不 
是 通过 访问 掩 码 来 定义 的 ， 而 是 通过 访问 控制 权限 (controlAccessRight) 对 象 对 应 的 GUID 来 定义 
的 。 扩 展 权限 列表 不 是 固定 的 。 研 发 者 可 以 为 惯用 操作 创建 新 的 扩展 权限 。 


7.3 访问 决策 


每 一 种 对 象 类 型 都 有 一 个 对 象 管理 器 ， 它 处 理 对 象 的 创建 并 验证 进程 是 否 有 权 使 用 某 
个 对 象 。 比 如 ， 活 动 目录 就 是 目录 对 象 的 对 象 管理 器 。 对 于 访问 控制 而 言 ， 对 象 管理 器 调 
用 SRM 实现 的 访问 决策 函数 。SRM( 策 略 决 策 点 )， 为 对 象 管理 器 (策略 执行 点 ) 返 回 一 个 是 
或 否 的 答复 。 

一 般 而 言 ， 访 问 控制 决策 要 考虑 请 求 访问 权限 的 主体 、 要 访问 的 对 象 以 及 所 请 求 的 访问 权 
限 。 这 三 个 参数 并 不 是 在 所 有 的 情况 下 都 需要 。 主 体 的 凭证 ,包括 它 的 主角 ， 都 存储 于 其 令 牌 
中 。 对 象 的 安全 属性 存储 于 其 安全 描述 符 中 。 主 体 所 要 求 的 访问 操作 以 访问 掩 码 的 形式 给 出 。 

在 创建 对 象 句柄 的 时 候 ， 所 请 求 的 访问 权限 将 与 主体 的 令 牌 和 安全 描述 符 进行 比较 ， 而 不 
是 在 访问 的 时 候 。 因 而 ， 改 变 文件 的 DACL 并 不 会 影响 已 经 打开 的 文件 句柄 。 这 一 设计 决策 导致 
了 更 好 的 性 能 和 更 高 的 可 靠 性 ， 因 为 所 有 的 访问 控制 检查 都 已 经 在 进程 开始 任务 之 前 完成 了 。 

Windows 访问 控制 可 以 以 多 种 方式 应 用 于 不 同 的 粒度 和 复杂 度 层面 上 。 基 于 请 求 访问 主角 的 
访问 控制 被 称 为 扮演 ， 因 为 进程 扮演 了 它 的 令 牌 中 的 用 户 SID。 这 个 方法 粗糙 但 易于 实现 。 扮 演 
是 操作 系统 中 一 个 典型 的 概念 ， 但 是 在 应 用 层 无 效 。 以 角色 为 中 心 的 访问 控制 使 用 组 和 别名 为 
进程 分 配 适当 访问 权限 。 在 以 对 象 为 中 心 的 访问 控制 中 ， 应 用 层 对 象 会 获得 一 个 安全 描述 符 。 这 
种 方法 支持 更 严密 的 访问 控制 ， 但 与 此 同时 问题 也 复杂 化 了 。 


7.3.1 DACL 
接 下 来 的 几 节 并 不 局 限于 特定 的 Windows 版 本 ， 而 是 基于 Swift et. al. (2002) 提 出 的 建议 。 安 
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全 描述 符 中 的 DACL 是 -一 个 访问 控制 表 项 (access control entry) 清单 。ACE 的 格式 如 下 ， 
ACE 的 类 型 决定 了 ACE 将 如 何 被 访问 控制 机 制 使 用 。 类 型 : 肯定 (允许 ) 或 否定 (拒绝 ) 

















ACE 类 型 可 以 取 如 下 值 : 标志 
e ACCESS _ ALLOWED _ ACE; ObjectType 
e ACCESS _ DENIED ACE; InheritedObjectType 
e ACCESS ALLOWED _ OBJECT ”ACE( 允许 对 对 象 、 属 ARR 
性 、 属 性 设置 以 及 扩展 权限 的 访问 ) ; Ae eee _ 
è ACCESS DENIED _ OBJECT _ACE( 拒 绝对 对 象 、 属 性 、 
属性 设置 以 及 扩展 权限 的 访问 ) 。 


ObjectType 是 定义 对 象 类 型 的 GUID。 现 在 ， 应 用 程序 可 以 在 它们 的 访问 请 求 中 包括 Object- 
Type。 对 于 一 个 给 定 的 请 求 ， 只 有 具有 一 个 匹配 的 ObjectType 或 不 具有 ObjectType 的 ACE JÈ 
被 评估 。 比 如 ， 为 了 控制 对 对 象 属性 的 读 / 写 访问 ， 可 以 将 属性 的 GUID 放 人 到 ObjectType 中 。 
为 了 控制 对 对 象 的 创建 /删除 操作 ， 可 以 将 对 象 的 GUID 放 入 到 ObjectType 中 。 

下 一个 例子 是 网 页 目录 的 ACE， 它 允许 用 户 设置 他 们 自己 主页 。 这 个 策略 应 用 于 所 有 的 用 
户 ， 因 此 我 们 使 用 PRINCIPAL _ SELF _ SID 作为 占 位 符 。 在 进行 访问 请 求 的 时 候 ， 创 建 主页 的 
应 用 程序 会 提供 当前 用 户 的 SID。 


ACE1 








类 型 ; ACCESS _ ALLOWED _ OBJECT _ ACE 
对 象 类 型 ; Web 主页 的 GUID 

继承 的 对 象 类 型 : 用 户 账号 对 象 的 GUID 

访问 权限 : 写 

主角 SID: PRINCIPAL _ SELF 


以 下 ACE 允许 服务 器 应 用 程序 在 任何 类 型 RPC 服务 容器 中 创建 RPC 终端 。ACE 将 被 每 一 
个 类 型 RPC 服务 容器 所 继承 。 





ACE2 
类 型 ; ACCESS _ ALLOWED _ OBJECT _ ACE 
对 象 类 型 : RPC 终端 的 GUID 
继承 的 对 象 类 型 ; RPC 服务 的 GUID 
访问 权限 : 创建 子 服务 
主角 SID: 服务 器 应 用 程序 
属性 集 


为 了 减轻 管理 工作 ， 可 以 将 对 象 类 型 的 属性 组 织 到 属性 集合 中 。 我 们 只 需要 一 个 引用 了 属 
性 集合 的 ACE ， 而 不 是 对 象 类 型 的 所 有 属性 ACE。 属 性 集合 通过 GUD 来 识别 。 在 访问 请 求 中 ， 
一 系列 的 属性 被 传人 引用 监控 器 ， 对 属性 集合 的 一 次 检查 将 为 每 一 个 属性 返回 检查 结果 。 其 进 
一 步 的 优点 在 于 ， 对 对 象 类 型 的 修改 并 不 会 迫使 我 们 更 改 ACL。 


7.3.2 决策 算法 


当主 体 请 求 访问 对 象 时 ，SRM 取得 主体 的 令 牌 、 对 象 的 ACL 以 及 所 请 求 的 访问 掩 码 以 决定 
是 否 人 允许 所 请 求 的 访问 。 它 首先 检查 是 否 存在 DACL。 如 果 没 有 DACL， 即 所 谓 的 NULL DACL, 
那么 不 必 进 一 步 检 查 并 允许 该 访问 请 求 。 

和 否则， 决策 算法 接 下 来 检查 主题 是 否 为 对 象 的 属 主 。 如 果 所 请 求 的 访问 掩 码 包括 了 Read _ 
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Control 或 者 Write DAC 请 求 ， 则 人 允许 访问 。 如 果 不 是 这 样 ， 就 通过 建立 授权 的 访问 掩 码 累积 许 
可 。 对 于 每 一 个 ACE， 主体 的 SD 将 同 ACE 中 的 所 有 SID 进行 比较 。 以 下 三 种 情况 都 有 可 能 : 

(1) ACE 不 包括 匹配 的 SID; ACE 将 被 跳 过 。 

(2) ACE 包括 请 求 访问 权限 的 AccessDenied( 拒 绝 访问 )SD; 访问 将 被 拒绝 并 且 不 再 进一步 检查 。 

(3)ACE 包括 了 一 个 AccessAllowed( 允许 访问 ) 的 SID; 如 果 ACE 中 的 访问 掩 码 以 及 先前 检 
查 过 的 匹配 的 ACE 中 的 访问 掩 码 ， 均 包括 了 所 请 求 的 访问 掩 码 中 的 所 有 许可 ， 访 问 将 被 允许 并 
且 不 再 进一步 检查 ; 和 否则， 继续 搜索 。 

如 果 DACL 搜索 完毕 并 且 所 允许 的 掩 码 不 等 于 所 请 求 的 掩 码 ， 访 问 将 被 拒绝 。 因 此 ， 如 果 
DACL HZ, 那么 访问 将 一 直 被 拒绝 ; 如 果 不 存在 DACL， 那 么 访问 将 一 直 被 允许 。 

为 了 使 否定 的 ACE 优先 于 肯定 的 ACE， 它 们 必须 被 放 在 DACL 的 顶端 。 正 如 同 将 在 下 一 节 
中 看 到 的 那样 ， 为 了 实现 更 严密 的 访问 控制 也 可 以 将 否定 的 ACE 放 到 肯定 的 ACE 之 后 。 

经 验 教 训 

通常 ， 操 作 系统 将 访问 控制 信息 存储 于 不 同 的 地 方 。 了 解 检 查 执行 的 顺序 非常 重要 。 有 时 ， 正 
如 在 UNIX 中 一 样 ， 只 有 第 一 个 匹配 的 访问 控制 表 项 会 被 考虑 。 但 有 时 候 也 可 能 是 这 样 的 情况 ， 即 
相对 于 先前 的 表 项 而 言 ， 后 面 的 特定 表 项 反而 居于 支配 地 位 。 最 后 ， 必 须知 道 如 果 没 有 找到 匹配 的 
表 项 操作 系统 将 如 何 反 映 。 


7.3.3 ACE 继承 


在 创建 新 的 对 象 时 ，ACE 通常 是 从 对 象 所 在 的 容器 (目录 ) 继承 而 来 。 在 活动 目录 中 ， 一 个 
容器 可 能 包括 了 不 同类 型 的 对 象 ， 因 此 需要 一 个 可 选 的 继承 策略 。 

Swift et al. (2002) 提出 的 机 制 是 通过 继承 标志 以 及 所 继承 的 对 象 类 型 来 控制 继承 的 。 继 承 标 
志 表 明了 ACE 是 否 已 被 继承 。 在 创建 新 的 对 象 时 ，ACE 是 从 容器 继承 而 来 的 。 当 新 对 象 创建 的 
时 候 ， 只 有 那些 具有 匹配 的 继承 对 象 类 型 或 者 不 具有 继承 对 象 类 型 的 ACE 被 复制 到 它 的 ACL. 


图 7-4 说 明了 这 个 问题 。 
\Research Container type 
ACE1 InheritedObjectType null 
ACE2 InheritedObjectType User 


ACE3 InheritedObjectType Printer 














ACE] InheritedObjectType null 
ACE2 InheritedObjectType User 


ACEI InheritedObjectType null 


\Research Diego User type 
ACE3 InheritedObjectT ype Printer 





| \Research\HPLaser Printer type | 





图 7-4 在 容器 内 的 特定 类 型 的 继承 


对 容器 的 修改 不 会 立即 对 容器 中 已 有 的 对 象 造成 影响 。 这 种 策略 称 为 静态 继承 (static inherit- 
ance) 。 如 果 你 修改 了 容器 的 访问 许可 或 者 想 修 改 、 过 滤 其 内 容 ， 你 必须 运行 传播 算法 (propaga- 
tion algorithm) 。 该 算法 应 该 是 指数 级 的 。 再 次 使 用 传播 算法 可 能 不 会 改变 访问 控制 权限 。 而 在 
动态 继承 中 ， 任 何 对 容器 的 修改 都 将 自动 应 用 于 容器 内 所 有 对 象 的 地 方 ， 因 而 与 动态 继承 相 比 ， 
静态 继承 具有 性 能 优势 以 及 更 易于 预见 的 行为 。 

在 设置 容器 的 许可 时 ， 通 常 不 知道 姥 些 对 象 最 终 将 被 放 到 容器 中 ， 甚 至 可 能 不 知道 这 些 对 
象 的 属 主 ， 但 许多 访问 策略 都 给 予 对 象 的 属 主 以 特定 的 权限 。 因 此 ， 在 没有 对 所 有 者 命名 的 情况 
F, 我们 必须 要 能 够 指出 属 主 能 够 继承 的 权限 。 为 了 达到 这 个 目的 ，Windows 2000 用 了 一 个 占 
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位 符 SID。 在 创建 新 的 对 象 时 ， 在 继承 来 的 ACE 中 该 SID 被 蔡 换 为 属 主 的 SD。 


继承 标志 进一步 说 明了 如 何 继承 ACE。 已 经 定义 了 的 标志 如 下 : 


e INHERITED _ ONLY _ ACE; ACE 只 用 作 继 承 ， 而 且 访 问 检 查 机 制 将 忽略 该 标志 。 

e NO _ PROPAGATE _INHERIT: 该 标志 只 被 下 一 代 继 承 ， 而 不 会 被 进一步 传播 。 

e OBJECT _ INHERIT ACE; 该 标志 由 所 有 不 属于 容器 的 子 对 象 继承 。 

e CONTAINER _ INHERIT _ ACE; 该 标志 被 所 有 属于 容器 的 子 对 象 所 继承 。 

2. 规则 例外 

在 实际 情况 中 ， 即 便 对 于 考虑 得 最 周全 的 通用 规则 也 会 有 例外 。 因 此 ， 我 们 需要 一 个 既 容 易 
定义 又 便于 应 用 规则 ， 同 时 还 要 能 够 为 这 些 规则 定义 例外 的 方案 。 由 于 ACE 是 按照 它们 在 
DACL 中 的 顺序 来 进行 评估 的 ， 将 本 地 添加 的 表 项 放 到 继承 而 来 的 ACE 之 前 就 可 以 使 得 特定 的 
表 项 优先 于 更 为 通用 的 表 项 。 结 果 ， 来自 近亲 容器 的 ACE 被 放 到 来 自 远 亲 容 器 的 ACE 之 前 。 这 
样 ， 肯 定性 的 ACE 就 可 能 出 现在 一 个 匹配 的 否定 性 ACE 之 前 ， 如 图 7-5。 图 中 ，ACE2 是 直接 


为 Documents 容器 中 的 Letter A 定义 的 ， 因 而 出 现在 了 继承 来 的 ACE 之 前 。 因 为 ACEL 只 继承 
了 Letter 类 型 的 对 象 ， 所 以 它 没有 被 Invoice _A 所 继承 。 





\Documents Container type | 


ACEI |Type: access_denied 
Access right: read, write 
Principal: Diego 
InheritedObj: Letter 
Access right: read, write 


\Documents\Invoice_A Invoice type 
Principal; Diego 


图 7-5 本 地 添加 的 ACE 被 放 到 继承 来 的 ACE 之 前 


将 更 加 详细 的 表 项 放 到 更 加 通用 的 表 项 之 前 是 一 种 创建 例外 的 方法 。Windows 2000 itt 一 步 
实现 了 创建 例外 的 机 制 。 为 对 象 的 安全 描述 符 设置 SE _ DACL _ PROTECTED 标志 会 阻止 ACE 


继承 ， 因 而 在 设置 对 象 许可 时 从 一 个 干净 的 对 象 开始 。 在 图 7-6 中 所 示 ，Letter _ A 的 安全 描述 
符 中 设置 了 该 标志 ， 并 且 它 的 DACL 只 包含 了 一 个 本 地 定义 的 ACE2。 


















\Documents\Letter_A Letter type 








Type: access_allowd 
Access right: write 
Principal: Diego 












Type: access_denied 











\Documents Container type 
ACE! | Type: access_denied 










InheritedObj : Letter 








| (_SE_DACL_PROTECTED 
















\Documents\Letter_A Letter type 


ACE2 Type: access_allowed 
Access right: write 
Principal: Diego 





[ \Documents\Invoice_A Invoice type | 


| 








图 7-6 SE_DACL_ PROTECTED 阻止 了 ACE 继承 
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7.4 受 限 上 下 文 


到 目前 为 止 ， 访 问 控制 已 经 (显示 地 ) 涉 及 到 了 用 户 。 用 户 登 录 时 ， 进 程 的 安全 令 牌 中 的 SD 
被 初始 化 ， 然 后 传人 会 话 中 的 其 他 进程 。 我 们 可 能 需要 采取 一 种 补充 方法 并 且 也 要 控制 某 些 程 
序 能 够 做 什么 。 目 前 ， 将 这 类 程序 称 为 “不 可 信 代 码 ” 是 很 平常 但 不 是 特别 的 有 帮助 。 这 种 称呼 
没有 罕 出 关键 点 。 我 们 一 直 坚 持 好 的 安全 设计 实践 并 且 遵 循 最 小 特权 的 原则 。 代 码 运行 的 时 候 ， 
它 只 被 给 予 了 完成 其 任务 所 需要 的 许可 。 

在 Windows 中 ， 可 以 使 用 受 限 令 牌 (restricted token ) 来 实现 基于 代码 的 访问 控制 (code-based 
access control ) 。 以 受 限 令 牌 运行 的 进程 就 是 受 限 上 下 文 (restricted context) 。 受 限 令 牌 去 掉 了 给 
定 令 牌 中 的 特权 。 通 过 将 组 SID 设置 为 USE_FOR_DENY _ONLY， 就 可 以 禁止 组 SID。 在 服务 
器 线程 模拟 客户 端 角色 的 时 候 ， 比 如 在 客户 端 访 问 令 牌 的 上 下 文中 运行 时 ， 这 一 特色 很 有 用 。 为 
了 方便 起 见 ， 客 户 端 令 牌 可 能 被 给 予 了 太 多 的 权限 ? ， 而 禁用 SID 提供 了 一 种 禁止 给 予 客户 端 访 
问 权 限 的 方法 。 

向 令 牌 添加 受 限 SID 后 ， 只 有 在 SID 和 受 限 SID 都 被 允许 访问 时 ， 具 有 受 限 令 牌 的 进程 才 
能 获取 访问 权限 。 在 图 7-7 中 ， 一 个 具有 受 限 令 牌 的 进程 请 求 访问 具有 不 同 DACL 的 对 象 。 在 图 
7-7a 中 ， 主 角 SID Diego 和 受 限 SID MyApp 都 具有 读 许 可 ， 因 此 允许 访问 。 在 图 7-7b 中 ，Admin 
组 SID 被 设置 为 只 拒绝 ， 所 以 ACE 将 被 跳 过 而 且 访 问 将 被 拒绝 ， 因 为 主角 并 不 具有 其 所 请 求 的 
权限 。 在 图 7-7c 中 ， 尽 管 主角 已 经 拥有 了 其 所 请 求 的 权限 ,但 受 限 SID MyApp 没有 读 许 可 ， 因 
此 访问 仍 将 被 拒绝 。 


用 户 SID Diego 

















ACE1: ACE3: 
Access Rights: read, write Access Rights: read 
Principal SID: Diego Principal SID: Admin 
ACE2: ACE2: ACE1: 
Access Rights: read Access Rights: read Access Rights: read, write 
Principal SID: MyApp Principal SID: MyApp Principal SID: Diego 
a) 访问 授权 b) 访问 拒绝 c) 访问 拒绝 


图 7-7 带 有 受 限 令 牌 的 访问 


为 了 限制 程序 的 访问 权限 ， 我 们 创建 一 个 代表 该 程序 的 受 限 SID。 在 我 们 的 例子 中 ， 我 们 有 
一 个 为 MyApp 创建 的 SID。 该 SID 被 添加 到 程序 所 要 访问 的 所 有 对 象 的 DACL 中 。 可 以 为 每 一 
个 进程 创建 受 限 SID ， 并 将 受 限 SID 添加 到 程序 所 请 求 的 资源 (对 象 类 型 ) 和 每 一 类 对 象 类 型 的 
ACL 中 ， 或 者 添加 到 所 要 访问 的 主体 的 受 限 令 牌 中 。 


O 面 对 客 户 端 定义 的 输入 和 访问 权限 ， 服 务 器 可 能 会 执行 危险 的 操作 (困惑 的 代表 问题 ) 。 
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7.5 管理 
我 们 将 通过 进一步 评论 Windows 2000 的 安全 管理 来 总 结 这 一 章 。 
7.5.1 用 户 账户 


有 关 用 户 的 安全 相关 的 信息 都 被 SAM 存储 于 用 户 账户 数据 库 中 。 用 域 用 户 管理 器 (User 
Manager for Domains) 工具 可 以 修改 用 户 账 户 ， 并 且 可 以 在 命令 行 中 用 网 络 用 户 的 username 命令 
来 显示 用 户 账户 。 在 所 有 域 中 ， 可 以 定义 以 下 域 。 

se。 用户 名 (Username) : 用 户 登 录 的 唯一 名 字 。 

e 全 名 (Full name): 拥有 账户 的 用 户 名 字 。 

e 过 期 时 间 (Expiration date): 默认 情况 下 ， 账 户 没有 过 期 日 期 。 

e 口令 时 间 (Password dates); 上 次 修改 口令 的 日 期 ， 口 令 过 期 日 期 (将 当前 口令 设置 为 过 

期 ， 就 可 以 强制 用 户 在 下 次 登录 时 修改 口令 ) ， 口 令 可 以 被 修改 的 时 间 ; 也 可 以 指明 用 户 
是 否 可 以 修改 他 们 的 口令 。 

o 登录 时 间 和 地 点 (Logon hours and workstation): 可 以 指定 用 户 可 以 登录 的 时 间 以 及 从 哪个 
工作 站 登录 。 在 登录 时 间 到 期 后 断 开 远程 用 户 与 服务 器 的 连接 ， 这 一 设置 决定 了 是 否 将 用 
户 从 已 有 会 话 中 剔除 出 去 还 是 继续 连接 。 在 后 一 种 情况 中 ， 只 阻止 新 的 登录 。 

。 用 户 描述 文件 和 登录 脚本 名 ( User profile path and logon script name): 描述 文件 定义 了 用 户 
的 桌面 环境 ， 比 如 程序 组 、 网 络 连接 、 屏 幕 颜色 等 。 登 录 脚 本 是 一 个 批 处 理 文件 或 可 执 
行文 件 ， 在 用 户 登 录 的 时 候 ， 它 会 自动 运行 。 

e 主 目录 (Home directory): 你 也 可 以 指定 主 目录 是 否 位 于 本 机 上 或 者 在 网 络 服务 器 上 。 

。 本 地 组 和 全 局 组 (Local and global groups): 用 户 所 在 的 组 。 


7.5.2 默认 用 户 账户 


Windows 通过 默认 账户 支持 安全 管理 。 你 已 经 看 到 了 7.2. 1 节 的 第 一 个 例子 。 有 三 种 类 型 的 
默认 用 户 账户 和 组 账户 。 

。 预定 义 账户 是 同 操作 系统 一 起 安装 的 。 

e 内 置 账户 是 同 操作 系统 、 应 用 程序 以 及 服务 一 起 安装 的 。 

e 显 式 账户 是 在 访问 网 络 资源 时 显 式 创建 的 。 

由 操作 系统 创建 的 默认 用 户 和 组 可 以 被 修改 ,但 不 能 被 删除 。LocalSystem 账户 是 一 个 内 置 
账户 ， 它 用 于 运行 系统 进程 以 及 处 理 系统 级 任务 。 用 户 不 能 登录 到 该 账户 ， 但 某 些 进程 可 以 。 

管理 员 ( Administrator ) 账户 和 来 宾 (Guest) 账 户 是 在 本 地 安装 的 预定 义 账户 。 管 理 员 (Admin- 
istrator) 账户 不 能 被 删除 或 禁用 。 它 拥有 对 文件 、 目 录 、 服 务 以 及 设备 的 完全 访问 权限 。 尽 管 可 
以 通过 修改 文件 和 目录 的 访问 许可 使 管理 员 (Administrator) 无 法 访问 ， 但 是 管理 员 (Administra- 
tor) 仍 旧 能 够 修改 访问 许可 并 最 终 获 得 访问 权限 。 默 认 情 况 下 ， 域 管理 员 账 户 是 管理 员 
(Administrator) 、 域 管理 员 ( Domain Admins), 、 域 用 户 (Domain Users ) 、 企 业 管 理 员 (Enterprise 
Admins) 、 计 划 管 理 员 (Schema Admins) 以 及 组 策略 创建 者 属 主 组 ( Group Policy Creator Owners ) 
的 成 员 。 

在 一 个 域 中 ， 当 系统 第 一 次 安全 安装 时 ， 主 要 使 用 本 地 管理 员 账 户 。 一 旦 安装 完成 ， 实 际 管 
理 员 会 被 添加 到 管理 员 组 ( Administrator group) 。 因 而 ， 单 独 的 管理 员 权 限 更 容易 被 撤销 。 

来 宾 (Guest) 账 户 是 为 只 是 偶尔 需要 访问 系统 的 用 户 而 设置 的 。 可 以 像 给 其 他 用 户 账户 一 样 
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给 定 这 类 用 户 一 定 的 许可 权限 。 当 Windows 2000 安装 完成 之 后 ， 来 宾 (Guest) 账 户 就 被 禁用 了 。 

内 置 组 (built- in group) 已 经 预定 义 了 用 户 权限 和 许可 ， 并 且 在 授予 用 户 权限 的 时 候 提 供 了 一 
个 间接 层 。 用 户 可 以 成 为 这 样 一 个 组 的 成 员 来 获得 标准 的 访问 权限 。 典 型 的 内 置 组 例子 是 管理 
员 组 、 备 份 操作 者 、 用 户 或 来 宾 账 户 。 建 议 系统 管理 员 在 实现 他 们 的 安全 策略 时 遵循 这 样 的 内 置 
分 组 : 只 有 当 他 们 有 充分 的 理由 时 才 定 义 具 有 不 同 许可 模式 的 分 组 。 

一 些 预 定义 组 (predefined group) 是 同 活动 目录 一 起 安装 的 。 此 外 ， 有 一 些 显 式 组 也 可 以 用 于 
有 效 的 定义 访问 许可 。 

e 所 有 (Everyone) : 包括 了 所 有 的 本 地 和 远程 用 户 ， 包括 Guest; 这 个 组 可 以 用 来 允许 或 拒 

绝 所 有 用 户 的 许可 。 

交互 (Interactive) : 包括 了 所 有 本 地 登录 的 用 户 。 

。 网 络 (Network) : 包括 了 所 有 通过 网 络 登录 的 用 户 。 

o 系统 (System) : 操作 系统 。 

o 创建 者 ( Creator Owner); 文件 或 资源 的 创建 者 或 所 有 者 。 


7.5.3 审计 


Windows 2000 在 安全 日 志 中 记录 了 与 安全 相关 的 事件 。 在 请 求 对 对 象 的 访问 时 ， 需 要 记录 
的 与 安全 相关 的 事件 可 以 在 对 象 的 SACL 中 定义 。 日 志文 件 中 的 表 项 是 由 SRM 生成 的 。 与 安全 
相关 的 时 间 通 常 包 括 了 有 效 的 和 无 效 的 登录 尝试 、 特 权 使 用 ， 以 及 创建 、 删 除 或 者 打开 资源 ( 文 
件 ) 。 通 过 事件 查看 器 (Event Viewer) 可 以 选择 和 显示 需要 记录 的 时 间 。 

审计 日 志 的 最 大 大 小 可 以 设置 。 当 日 志 到 达 最 大 大 小 的 时 候 ， 可 以 定义 三 种 包 圳 选项 来 
处 理 。 

。 根据 需要 发 盖 事件 : 为 了 给 新 的 表 项 腾 出 空间 ， 可 以 覆盖 任何 记录 。 

日 覆盖 [xz] 天 之 前 的 事件 : 在 指定 天 数 之 前 的 事件 可 以 被 覆盖 。 

FRESH: 不 覆盖 已 有 的 事件 ; 在 记录 新 的 事件 之 前 ， 必 须 手 工 清除 日 志 。 

采用 后 两 种 选项 时 ， 系 统管 理 员 必须 设置 系统 以 便 在 日 志 满 了 的 时 候 ， 系 统 可 自动 关闭 。 注 
册 表 中 的 CrashOnAuditFail 表 项 是 按 如 下 方式 设置 的 。 

HKEY LOCAL MACHINE\System\CurrentControlSet\Control\Lsa 

Name ; CrashOnAuditFail 

Type: REG _ DWORD 





Value ; 1 
AT AB RB C2 要 求 ， 这 个 略 带 破坏 性 的 设置 是 必须 的 。 
7.5.4 小 结 


由 于 有 大 量 支持 安全 管理 的 概念 工具 ， 尤 其 是 在 应 用 层 的 安全 管理 策略 上 ， 与 UNIX 相 比 ， 
Windows 更 靠近 人 一 机 尺 上 的 用 户 端 。 


对 用 户 对 数据 
特定 的 通用 的 
复杂 的 关注 简单 的 关注 
CO 一 一 一 全 
面向 人 面向 机 器 


图 7-8 人 一 机 尺 上 的 Windows 安全 
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7.6 深层 阅读 


针对 特定 操作 系统 的 大 多 数 安全 手册 没有 超越 安全 系统 的 表象 ， 并 且 专 注 于 已 有 的 安全 特 
色 和 它们 的 管理 。 对 于 这 种 类 型 的 参考 ， 你 必须 检查 最 近 的 公布 清单 以 及 微软 公司 http:// 
www. msdn. microsoft. com 网 站 上 的 资料 。Brown(2000) 深 入 讲解 了 Windows 访问 控制 。 

如 果 你 对 UNIX 以 及 Windows 上 的 操作 系统 安全 实例 研究 感 兴趣 ， 你 将 发 现 大 量 深 入 研究 
AS/400 安全 的 的 描述 。AS/400 是 IBM 公司 推出 的 运行 于 中 型 计算 机 上 的 操作 系统 。 它 是 应 用 
于 金融 领域 的 面向 对 象 的 操作 系统 ， 并 且 人 们 认为 它 相 当 安全 。 中 间 件 层 (CORBA ) 的 访问 安全 
是 Lang and Schreiner( 2002) 的 研究 课题 。 


7.7 练习 


练习 7.1 创建 一 个 演讲 课程 容器 。 容 器 应 该 包括 不 同类 型 的 对 象 : 课程 描述 、 演 讲 笔记 、 
练习 解答 、 学 生 项 目 。 定 义 有 关 容 器 和 对 象 的 组 和 DACL 以 便 : 

。 课 程 的 领导 者 有 权 访 问 所 有 资源 ; 

。 人 参加 课程 的 学 生 有 读 演讲 笔记 的 权限 ， 并 且 有 读 / 写 他 们 自己 项 目的 权限 ; 

。 所 有 学 生 有 读 课 程 描述 的 权限 ; 

。 被 任命 为 辅导 员 的 学 生 具 有 对 习题 解答 的 读 权限 ; 

。 一 个 给 出 的 习题 解答 对 该 课程 的 所 有 学 生 都 是 可 见 的 。 

练习 7.2 在 UNIX 和 Windows 2000 中 ,访问 权限 是 为 用 户 和 组 定义 的 。 为 了 便于 更 好 的 
安全 管理 ， 用 户 被 放 到 不 同 的 组 中 。 当 用 户 拥有 的 权限 少 于 用 户 所 在 组 的 权限 时 ， 两 个 操作 系统 
会 如 何 决定 访问 权限 呢 ? 如 何 拒绝 给 予 用 户 那些 已 经 给 予 用 户 所 在 组 的 访问 权限 ? 

练习 7. 3 讨论 “中 间 层 控制 "是 如 何在 Windows 2000 中 使 用 的 ? 

练习 7.4 UNIX 的 UID 可 以 由 管理 员 设置 。Windows 创建 随机 的 SD。 试 讨论 如 下 设计 原 
理 : 就 从 管理 员 处 获取 控制 并 拥有 由 系统 定义 的 随机 描述 符 。 

练习 7.5 默认 的 Windows 账户 不 能 被 删除 。 试 讨论 设计 决策 的 设计 原理 。 

练习 7.6 应 用 软件 可 以 强制 执行 它 自己 的 安全 控制 。 因 而 ， 开 发 者 必须 实现 这 些 控制 ,在 
部 署 软件 的 时 候 ， 开 发 者 并 不 知道 这 些 参数 (比如 用 户 或 组 ) 将 如 何 被 实例 化 。 试 验证 Windows 
2000 是 怎样 在 安全 策略 的 开发 和 部 署 之 间 提 供 接口 的 。 

练习 7.7 在 工作 站 全 部 都 是 单独 管理 的 环境 下 ， 你 将 如 何 使 用 默认 账户 来 管理 计算 机 ? 

练习 7.8 试 阐释 在 配置 和 审计 安全 操作 系统 中 的 主要 问题 (5300 ~ 1000 字 )。 
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你 的 安全 策略 是 什么 ? 哪 一 条 规则 决定 谁 可 以 访问 你 的 数据 ?为 了 制定 一 个 安全 策略 ， 你 必 
须 描述 策略 控制 的 实体 ， 并 且 陈 述 构成 策略 的 规则 。 可 以 通过 非 正 式 的 自然 语言 文档 实现 。 在 实 
践 中 ， 这 些 文档 含糊 不 清 、 矛 盾 而 且 宛 长 。 为 了 避免 这 些 问 题 ， 你 将 更 倾向 于 建立 一 个 自己 的 正 
式 的 安全 策略 。 安 全 模型 正 是 在 做 这 样 的 事情 。 

安全 模型 在 高 保险 度 安全 系统 设计 和 评估 中 具有 罕 出 的 地 位 。 其 重要 性 已 经 在 1972 年 的 
Anderson 报告 中 体现 出 来 了 。 设 计 过 程 始 于 系统 应 执行 的 策略 的 正式 规范 ， 即 安全 模型 和 系统 
自身 的 高 级 别 规范 。 在 该 高 级 别 规范 中 加 入 更 多 的 细节 ， 就 可 以 获得 一 系列 低级 别 规范 。 此 时 就 
得 证 明 ， 高 级 别 的 规范 能 够 实现 预期 的 安全 策略 。 对 于 高 保险 度 ， 需 要 正式 的 证 明 。 此 外 还 得 证 
明 低 级 别 的 规范 符合 我 们 的 安全 策略 ， 不 过 在 这 两 个 级 别 中 ， 正 式 的 证 明 变 得 越 来 越 难 了 。 

本 章 作为 演示 这 种 方法 的 案例 进行 研究 。Bell- LaPadula 模型 被 研制 来 为 分 类 数据 捕获 多 级 
安全 策略 。 我 们 会 描述 这 个 模型 ， 并 以 Multics 操作 系统 为 例 来 说 明 ， 在 分 析 某 个 专 为 执行 这 些 
安全 策略 的 系统 时 ， 如 何 使 用 这 个 模型 。 下 一 章 将 介绍 另外 一 些 重 要 的 安全 模型 。 
目标 
。 演示 如 何 使 安全 策略 形式 化 。 

o 介绍 Bell- LaPadula 模型 ， 并 讨论 其 范围 和 局 限 性 。 
。 说 明 在 分 析 一 个 安全 系统 时 如 何 运 用 正式 模型 。 
e 介绍 计算 机 安全 历史 上 几 个 重要 的 里 程 碑 。 


8. 1 ”状态 机 模型 


状态 机 (自动 机 ) 是 针对 计算 机 系统 许多 方面 创建 模型 的 一 种 流行 工具 ， 我 们 假设 本 书 读者 
已 经 熟悉 了 这 方面 的 内 容 。 毋 庸 置 疑 ， 状 态 机 也 是 一 些 重要 的 安全 模型 的 基础 。 状 态 机 模型 的 主 
要 特点 是 状态 (state) 以 及 发 生 在 离散 时 间 点 上 的 状态 变化 的 概念 。 状 态 就 是 研究 的 系统 在 某 个 时 
刻 的 一 种 表现 ， 它 能 准确 捕 提 与 我 们 的 问题 相关 的 那些 系统 方面 。 可 能 的 状态 迁移 (state transi- 
tion) 可 以 通过 状态 迁移 函数 来 描述 ， 该 函数 根据 当前 状态 和 输入 来 定义 下 一 个 状态 ， 也 可 能 产 
生出 一 个 输出 。 

状态 机 的 简单 实例 就 是 一 个 灯 开 关 。 它 有 两 个 状态 ， 开 和 关 ， 以 及 一 个 输入 ， 按 钮 ， 这 个 按 
钮 可 以 使 系统 从 开 状 态 转换 到 关 状 态 ， 从 关 状 态 转换 到 开 状 态 。 一 个 更 高 级 的 实例 就 是 自动 售 
票 机 。 它 的 状态 需要 记录 售票 请 求 及 其 需 付 金额 。 其 输入 是 售票 请 求 和 钱币 ， 输 出 便 是 票 和 所 找 
换 的 零钱 。 计 算 机 科学 领域 的 一 个 例子 就 是 微 处 理 器 。 机 器 的 状态 由 登记 的 内 容 决定 ， 而 它 的 输 
人 便 是 机 器 指令 。 

如 果 我 们 想 用 状态 机 模型 来 讨论 系统 的 某 个 特殊 性 质 ， 如 安全 ， 首 先 必须 确定 达到 该 性 质 
的 所 有 状态 ， 然 后 必须 检查 所 有 的 状态 迁移 是 否 都 保持 (preserve) 这 种 性 质 。 如 果 是 这 样 ， 并 且 
系统 是 从 满足 这 种 性 质 的 起 始 状态 (initial state) 开始 运行 的 ， 那 么 可 以 通过 归纳 证 明 这 个 性 质 始 
终 成 立 。 
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8.2 Bell-LaPadula 模型 


Bell-LaPadula( BLP) 模型 可 能 是 安全 模型 中 最 著名 的 模型 ， 它 由 Bell 和 LaPadula 在 第 一 次 联 
合 设 计 安全 的 多 用 户 操作 系统 时 提出 。 如 果 这 些 系统 是 用 来 处 理 不 同 层次 的 机 密 资料 的 ， 它 们 
就 必须 执行 多 级 安全 (MLS) ， 这 在 4.7.3 节 中 已 进行 了 详细 描述 。 用 户 根据 自己 的 许可 应 该 只 
获得 自己 有 权 得 到 的 信息 。 

BLP 是 描述 访问 控制 的 机 密 性 问题 的 状态 机 模型 ( Bell and LaPadula，1996)。 访 问 许可 通过 
访问 控制 矩阵 和 安全 级 别 来 定义 ， 安 全 策略 防止 信息 从 高 安全 级 别 流 向 低 安全 级 别 。BLP 只 考 
虑 了 主体 在 查看 或 改变 一 个 对 象 时 发 生 的 信息 流动 。 


8.2.1 状态 集 


我 们 用 第 4 章 介绍 的 符号 来 描述 BLP 模型 : 

。 主体 集合 5。 

。 对 象 集合 0。 

© 访问 操作 集合 A= | execute, read, append, write! ， 直 接 借鉴 了 4.3.2 节 的 访问 权限 。 
es。 具有 偏 序 三 的 安全 级 别 集合 工 。 

我 们 想 用 系统 状态 来 检查 系统 安全 ， 所 以 模型 的 状态 集 必 须 包 括 当 前 所 有 的 许可 和 当前 所 
有 主体 访问 对 象 的 实例 。 

我 们 可 以 用 一 个 表 来 记录 在 特定 的 时 间 点 哪个 主体 连接 到 哪个 对 象 。 表 中 的 行 索引 是 主体 ， 
列 索引 是 对 象 ， 表 中 的 一 条 记录 显示 了 当前 主体 对 对 象 执行 的 访问 操作 。 在 数学 符号 中 ， 这 样 的 
表 对 应 于 一 个 元 组 (s，o，a) 的 集合 ， 显 示 主 体 s 当前 正在 对 象 a 上 执行 操作 o。 元 组 是 集合 5 x 
OxA(S, O, 4 集 的 笛 卡 儿 乘 积 ) 的 元 素 ， 所 以 一 个 表 对 应 于 集合 P(5S x O x 4A) 的 宕 的 一 个 元 素 。 
它 习 惯用 符号 5 来 表示 当前 在 BLP 模型 中 进行 访问 操作 的 表 ， 而 用 下 来 表示 这 些 表 的 集合 。 

目前 ， 获 得 访问 许可 的 矩阵 记 作 M = (Mo) ,-s。eo。 我 们 用 M 来 表示 所 有 获得 访问 许可 的 托 
阵 的 集合 。 

BLP 模型 通过 三 个 函数 分 别 决定 主体 和 对 象 的 安全 级 别 。 

ef: S- 沁 给 出 了 每 个 主体 可 以 拥有 的 最 高 安全 级 别 。 

efo: S- 沁 给 出 了 每 个 主体 当前 的 安全 级 别 。 

。f,: 0- 江 给 出 了 所 有 对 象 的 安全 级 别 。 

一 个 主体 的 当前 级 别 不 能 高 于 它 的 最 高 级 别 ， 因 此 f<f;， 读 作 “f 控制 f.”， 很 快 我 们 就 会 
看 到 引入 i 的 原因 。 最 高 安全 级 别 有 时 候 称 为 主体 的 许可 (clearance) ， 其 他 文献 只 用 许可 来 表 
示 用 户 的 安全 级 别 。 

为 方便 起 见 ， 我 们 将 三 元 组 (f;， fes 大 ) 记 做 f， 用 FCL x D xL 来 表示 所 有 可 能 的 安全 
级 别 分 配 的 集合 。 所 有 这 些 均 导 致 了 一 个 相当 复杂 的 状态 集 8 x Mx F。 一 个 独立 的 状态 由 (5， 
M, 了) 这 个 三 元 组 决定 。 定 义 状态 集 是 BLP 模型 中 的 主要 问题 。 我 们 不 需要 描述 输入 、 输 出 或 状 
态 迁 移 的 精确 结构 来 给 出 BLP 的 安全 特性 。 


8.2.2 安全 策略 


BLP 将 安全 定义 为 状态 特性 。 仅 当主 体 的 安全 级 别 控制 对 象 的 安全 级 别 时 ， 多 级 安全 策略 
才 人 允许 主体 读 这 个 对 象 。 这 些 多 级 安全 策略 也 称 为 强制 性 安全 策略 (Imandatory security policy) 。 

1. 简单 安全 性 

第 一 个 显而易见 的 特性 是 简单 安全 性 (ss- property ) 。 
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如 果 对 于 每 一 个 元 素 都 有 (3，o，a) eb, 访问 操作 a 是 读 或 写 ， 主体 s 的 安全 级 别 控 
WR okera, P folo) SSCs), MAREC, M, f) ÈR ss- property。 


在 ss-property 中 主体 扮演 查看 者 。 当 某 入 请 求 获取 机 密 文件 时 ， 这 个 特性 就 获得 了 传统 的 无 
向 上 读 安全 策略 (no read-up security policy) 。 不 过 ， 我 们 现在 处 于 一 个 计算 机 系统 中 ， 在 里 面 主 
体 就 是 过 程 。 这 样 ， 主 体 就 不 会 像 人 一 样 具 有 记忆 ,但 它们 可 以 访问 记忆 对 象 。 主 体能 够 作为 通 
道 ， 读 一 个 记忆 对 象 并 且 将 信息 传送 到 另 一 个 记忆 对 象 中 。 用 这 种 方法 ， 可 能 会 对 数据 进行 不 适 
当 的 解密 (图 8-1) 。 比 如 说 ， 黑 客 可 能 会 插入 一 个 高 级 别 的 特洛伊 木马 ， 读 高 级 别 的 对 象 的 内 容 
并 将 它 拷贝 到 低级 别 的 对 象 。 











高 级 别 





非法 的 流向 低级 别 的 信息 流 


图 8-1 用 主体 作为 通道 对 对 象 的 解密 


2. * - property 

将 用 纸 笔记 录 的 安全 策略 转移 到 IT 系统 中 会 出 现 以 前 不 和 曾 有 的 问题 。 我 们 也 需要 一 个 策略 
来 控制 写 访问 。 简 单 地 在 低级 别 阻止 主体 修改 对 象 将 会 产生 一 个 新 的 问题 。 这 样 的 策略 将 会 暗 
示 高 级 别 的 主体 不 能 给 低级 别 主体 发 送信 息 。 有 两 种 方法 可 以 吕 开 这 个 限制 : 

。 临时 地 降低 高 级 别 主 体 的 等 级 ， 这 是 引入 当前 安全 级 别 f HRA. 

© 确定 一 组 允许 违背 * -property 的 主体 ， 这 些 称 为 可 信 主 体 (trusted subject) 。 

第 一 种 方法 假设 主体 被 降级 时 ， 它 会 忘记 它 在 较 高 安全 等 级 上 所 知道 的 一 切 。 当 把 主体 看 
成 人 时 ， 这 个 观点 看 起 来 不 合 情 理 ， 但 BLP 是 模拟 计算 机 的 。 在 此 主体 (进程 ) 没 有 自己 的 记忆 ， 
它们 所 “知道 ”的 唯一 事情 是 允许 它们 查看 的 对 象 (文件 ) 的 内 容 。 在 这 种 情况 下 ， 临 时 降级 确实 
解决 了 问题 。 换 句 话说 ，f; 指定 了 用 户 的 许可 ， 用 于 允许 以 低 于 许可 的 级 别 注册 ，fc 则 表明 了 用 
户 实际 注册 的 级 别 。 

BLP 包含 了 一 个 无 向 下 写 安 全 策略 (no write-down security policy) ， 这 个 策略 指向 的 是 当前 
安全 级 别 f.， 这 个 策略 就 叫做 星 特 性 ( star- property, ，* - property) °, 


如 果 对 于 每 一 个 元 素 ， 均 有 (8s，o，a) eb， 访问 操作 a 是 添加 或 写 ， 主体 s 的 当前 级 别 

被 对 象 o 的 安全 级 别 控制 ， 即 f(s) 志 fo(o)， MARA, M, f) BX * -Property。 

此 外 ， 如 果 存 在 一 个 元 素 ， 有 (5，o，a) eb, 访问 操作 4a 是 添加 或 写 ， 那么 对 于 所 有 

的 对 象 0",，(s，0',，a',) ED ，a 是 读 或 写 ， 我 们 必须 有 万 (o) fo(0)。 

如 图 8-1 所 示 ， 往 下 流 的 非法 信息 已 被 * -property 拦截 。 

当 采 用 第 二 种 方法 时 ，* -property 只 对 不 可 信和 的 主体 有 效 。 按 定义 ,一 个 可 信和 主体 可 以 违背 
安全 策略 。 事 实 上 ， 为 集中 注意 力 ， 你 可 以 很 好 地 用 形容 词 “ 可 信 的 "来 识别 那些 会 伤害 你 的 系 
统 组 件 。 相 反 ， 如 果 确 信 一 个 主体 不 会 伤害 你 ， 那 么 称 它 为 值得 信和 赖 的 (trustworthy ) 。 


O ”该 模型 的 第 一 个 版 本 没有 包括 这 个 性 质 ， 在 为 这 个 策略 找到 合适 的 名 字 前 ，* 一 直 被 用 作 占 位 符 。 
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3. 自主 安全 性 

橘 皮 书 使 用 术语 自主 访问 控制 ( discretionary access control，DAC) 来 表示 那些 基于 指定 的 用 
户 和 指定 的 对 象 的 访问 控制 策略 。 拥 有 一 项 访问 许可 的 主体 可 以 将 许可 传递 给 其 他 主体 。 在 BLP 
中 ， 这 种 策略 通过 一 个 访问 控制 矩阵 表示 ， 并 通过 自主 安全 特性 (ds-property) 获得。 


如 果 对 于 每 一 个 元 素 , 均 有 (s，0,，a) eb， 当 有 aeM。， 那 么 状态 (5，M， f) 满足 ds- 
property 。 


8.2.3 基本 安全 定理 


如 果 状 态 (b，M, 有) 满足 ss- ，* -和 ds- property RE, ARRE, M, 由) 是 安全 的 。 如 
ERS v, =(b,, M,, f,) AURA v: = (b,，M,, 万 ) 都 是 安全 的 ， 那 么 称 从 状态 w 到 状态 v, 的 迁 
移 是 安全 的 。 为 了 弄 清 楚 需 要 进行 什么 样 的 检查 才能 确定 一 个 新 状态 是 安全 的 ， 先 考虑 
ss- property。 状 态 迁 移 保持 ss- property， 当 且 仅 当 : 

(1) 每 个 (5，o，a) ep \ b, 满足 关于 所  ss- property(b, \ b, 表示 b, Fil b, HÆR); 

(2) 如 果 (s，o，a) eb, 不 满足 关于 万 WH ss- property, ABA(s, 0, a) €b,. 

+ - property 和 ds- property 特性 的 保持 可 以 用 类 似 的 方法 来 描述 。 现 在 我 们 能 够 描述 BLP 模 
型 的 一 个 重要 特性 。 


基本 安全 定理 ”如果 系统 中 所 有 的 状态 迁移 都 是 安全 的 ， 并 且 系 统 的 初始 状态 也 是 安 
全 的 ， 那 么 不 管 输入 情况 如 何 ， 其 后 的 每 一 个 状态 也 都 是 安全 的 。 


该 定理 的 形式 化 证 明 通 过 对 输入 序列 的 长 度 作 归纳 来 进行 。 证 明 建立 在 这 样 的 事实 上 ， 邯 
每 个 状态 迁移 保持 安全 ， 且 不 引用 特定 的 BLP 安全 属性 。 

经 验 教 训 

基本 安全 定理 是 状态 机 建 模 的 产物 ， 而 不 是 BLP 模型 中 选用 的 特定 安全 特性 的 结果 。 

实际 上 ， 基 本 安全 定理 减少 了 验证 系统 安全 所 需 的 努力 。 你 可 以 分 别 检 查 每 一 个 状态 迁移 
以 证 明 它 保持 了 安全 性 ， 并 且 需 要 确定 一 个 安全 的 初始 状态 。 只 要 以 这 种 安全 的 初始 状态 启动 
系统 ， 它 将 会 一 直 保 持 安全 。 


8.2.4 稳定 性 


McLean( 1987) 提出 了 一 种 包含 以 下 状态 迁移 的 系统 ， 从 而 引发 了 一 场 关于 BLP 模型 价值 的 
激烈 讨论 : 
。 将 所 有 的 主体 降 到 最 低 的 安全 级 别 。 
。 将 所 有 的 对 象 降 到 最 低 的 安全 级 别 。 
。 在 访问 控制 矩阵 M 的 所 有 位 置 输入 全 部 的 访问 权限 。 
按照 BLP 的 定义 ， 这 个 迁移 到 达 的 状态 是 安全 的 。 但 这 种 状态 能 被 视 为 是 安全 的 吗 ? 既然 
BLP 是 这 么 说 的 ， 那 么 BLP 正确 地 获得 了 安全 性 了 吗 ? 有 两 种 意见 : 
e 反对 BLP(McLean) : 直观 地 说 ， 如 果 一 个 系统 能 被 带 入 到 一 种 允许 每 个 人 读 任 何 信息 的 
状态 ， 那 么 这 个 系统 是 不 安全 的 。 因 此 BLP 必须 改进 。 
e 4% BLP(Bell); 如 果 用 户 要 求 这 种 状态 迁移 ， 那 么 应 当 在 安全 模型 中 允许 这 种 状态 迁 
移 。 如 果 它 不 被 要 求 ， 那 么 就 不 应 该 去 实现 它 。 这 不 是 BLP 的 问题 ， 而 是 正确 获取 安全 
需求 的 问题 。 
争论 的 根源 是 用 于 改变 访问 权限 的 状态 转移 。 这 种 改变 在 BLP 的 一 般 性 框架 中 当然 是 可 能 
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的 ， 但 是 模型 的 组 织 者 实际 上 考虑 的 是 访问 权限 固定 的 系统 。 安 全 级 别 和 访问 权限 从 不 改变 的 
这 种 特性 称 为 稳定 性 (tranquility ) ， 从 不 改变 访问 权限 的 操作 称 为 是 稳定 的 (tranquil) 。 


8.2.5 BLP 的 各 个 方面 及 其 局 限 性 


BLP 是 一 个 非常 重要 的 安全 模型 ， 它 在 安全 操作 系统 的 设计 中 起 着 重要 的 作用 ， 而 且 几 乎 
任何 一 种 新 的 模型 都 要 和 BLP 相 比较 。 在 这 种 情况 下 ， 分 析 BLP 的 一 些 特征 是 很 有 好 处 的 。 

(1) 模 型 的 描述 能 力 : BLP 状态 集 描 述 了 当前 所 有 的 访问 操作 和 访问 许可 。 

(2) 安全 策略 是 以 安全 级 别 和 访问 控制 矩阵 为 基础 的 ， 在 这 些 地 方 很 容易 引入 其 他 结构 。 比 
如 有 这 样 一 个 情形 ， 主 体 只 被 允许 通过 某 些 程序 来 访问 对 象 ， 要 建立 这 样 一 个 访问 控制 模型 ， 
Sx3xO 访 问 控制 结构 更 为 合适 。 

(3) 实 际 的 安全 特性 : 在 BLP H, 我们 有 ss- property，* -property 和 ds- property, Biba 模型 
(参见 9. 1 47) Al BLP 模型 的 主要 区 别 在 于 安全 特性 。 

(4) 特 定 解决 方案 ; 比如 ，Maultics 说 明 ( 参 见 8.3 节 ) 中 的 状态 迁移 。 

BLP 用 访问 控制 来 定义 安全 性 是 它 深 受 欢 迎 的 一 个 主要 原因 。 因 此 ， 用 BLP 来 表示 操作 系 
统 或 数据 库 管 理 系 统 的 行为 是 不 太 困难 的 。 然 而 ， 尽 管 BLP 是 一 个 重要 的 安全 模型 ， 它 却 没有 
涵盖 安全 的 所 有 方面 。 对 它 的 批评 有 : 

。 只 涉及 机 密 性 ， 而 没有 设计 完整 性 。 

。 没有 解决 访问 控制 的 管理 问题 。 

e。 包 含 隐蔽 信道 。 

缺乏 完整 性 策略 是 BLP 的 一 个 特征 ， 而 不 是 缺陷 。 在 下 一 章 你 将 会 看 到 ， 对 于 一 个 安全 模 
型 来 说 ， 限 制 它 的 目标 是 非常 合理 的 。BLP 没有 针对 修改 访问 权限 的 策略 ， 事 实 上 ，BLP RY 
打算 用 于 安全 级 别 不 能 改变 的 系统 。 

隐藏 信道 (covert channel) 就 是 一 个 不 受 安全 机 制 控制 的 信息 流 ( 加 拿 大 系统 安全 + 心 ， 
7993) 。 如 果 低 级 别 的 主体 可 以 看 见 高 级 别 对 象 的 名 字 ， 而 只 被 拒绝 访问 对 象 的 内 容 ， 那 么 对 象 
的 名 字 就 是 一 个 典型 的 隐藏 信道 。 在 BLP H, 你 可 以 用 访问 控制 机 制 本 身 构造 一 个 隐藏 信 道 ， 
信息 可 以 像 下 面 所 示 的 那样 从 一 个 高 安全 级 别 流向 一 个 低 安全 级 别 。 ， 

(1) 低 级 别 的 主体 在 本 级 别 上 创建 一 个 对 象 dummy. obj. 

(2) 它 的 高 级 别 同 谋 (一 个 特洛伊 木马 ) 提 高 或 者 不 改变 dummy. obj 的 安全 级 别 。 

(3) 接 着 ， 低 级 别 主体 试图 读 dummy.obj。 该 请 求 的 成 功 或 失败 暴露 了 高 级 别 主 体 的 行为 ，1 
位 的 信息 从 高 级 别 流向 了 低级 别 。 

告诉 一 个 主体 某 个 操作 是 不 允许 的 ， 这 本 身 就 构成 了 信息 流 。 这 导致 了 数据 库 安全 中 有 趣 
的 解决 方案 ( 多 实例 化 ) ， 一 个 对 象 在 不 同 的 安全 级 别 上 可 能 有 不 同 的 值 ， 从 而 避免 这 类 问题 的 
发 生 ( Denning et al , 1988; Lunt et al , 1990)。 

经 验 教训 

有 时 ， 仅 仅 隐 藏 对 象 的 内 容 是 不 够 的 ， 可 能 也 必须 隐藏 它们 的 存在 。 


8.3 BLP 的 Multics 前 述 


Multics 操作 系统 (Multiplexed Information and Computing Service ， 多 元 信息 和 计算 服务 ) 的 研 
究 目标 是 发 展 一 个 具有 安全 、 可 靠 等 性 能 的 多 用 户 操作 系统 (Organick，1972; Bell and LaPadu- 
la，1975)。 在 安全 领域 中 的 大 部 分 研究 ， 如 BLP， 都 是 由 multics 工程 触发 的 。 在 Organick 
(1972, 第 4 章 ) 中 给 出 了 对 保护 机 制 大 体 的 看 法 。 因 为 它 的 目标 广泛 性 和 它 的 安全 要 求 ，Mul- 
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tics 对 工程 成 员 来 说 变 得 太 麻烦 ， 他 们 随后 创建 了 更 简单 的 操作 系统 ， 即 UNIXK。 考 虑 到 商业 的 
成 功 因素 ， 这 两 个 系统 在 平衡 可 用 性 和 安全 性 方面 表现 突出 。 运 行 Multics 的 最 后 一 个 系统 在 
2000 年 退出 使 用 。 

学 习 Multics 给 了 我 们 一 个 了 解 安 全 模型 (以 BLP 模型 为 例 ) 如 何 用 于 安全 操作 系统 设计 的 机 
会 。 作 为 访问 控制 的 一 个 正式 模型 ，BLP 非常 适合 获取 操作 系统 的 安全 要 求 。 事 实 上 ， 它 就 是 
为 这 个 目的 而 开发 的 。BLP 中 安全 的 引导 定义 使 它 相 对 来 说 更 容易 建立 一 个 安全 的 系统 。 我 们 
仅仅 需要 定义 一 个 合适 的 状态 迁移 来 保证 安全 。 为 了 证 明 Multics 是 安全 的 ， 我 们 必须 找到 一 个 
和 BLP 一 致 的 Multics 的 描述 。 我 们 大 体 上 将 跟从 由 Bell and LaPadula( 1975 ) 给 出 的 陈述 来 显示 
BLP 概念 是 怎样 映射 到 Multics 的 。 


8.3.1 Multics 中 的 主体 和 对 象 


Multics 中 的 主体 就 是 进程 。 每 个 主体 都 有 一 个 描述 符 段 (descriptor segment), XTRA 
进程 的 相关 信息 ， 以 及 进程 当前 访问 对 象 的 相关 信息 。 对 每 一 个 对 象 ， 在 每 个 主体 的 描述 符 段 中 
都 有 一 个 段 描述 符 字 (segment descriptor word, SDW), KI 
8-2 给 出 了 SDW 的 版 式 。SDW 包含 了 对 象 的 名 字 ， 指 向 对 Segment id( BID) | PY a 
象 的 指针 ， 以 用 于 读 、 执 行 和 写 的 指示 器 (indicator) 标 志 。 
这 些 指示 器 指 的 是 在 4. 3. 2 节 中 专门 定义 的 访问 属性 。 主 体 
的 安全 级 别 存放 在 进程 级 别 表 (process level table) 和 当前 级 图 8-2 Multics SDW 
别 表 (current- level table) 中 。 活 动 段 表 (active segment) 跟踪 记录 所 有 的 活动 进程 。 只 有 活动 进程 
才能 访问 对 象 。 

Multics 中 的 对 象 是 内 存 段落 、LO 设备 等 。 对 象 在 一 个 目录 树 中 分 等 级 组 织 。 目 录 又 是 段 。 
一 个 对 象 的 信息 ， 就 像 它 的 安全 级 别 或 访问 控制 列表 (ACL) ， 保 存在 对 象 的 父 级 目录 中 。 为 了 
改变 一 个 对 象 的 访问 控制 参数 ， 创 建 或 删除 一 个 对 象 ， 需 要 向 父 级 目录 写 或 追加 访问 控制 权 。 

为 了 访问 一 个 对 象 ， 进 程 必须 从 根 目录 遍历 目录 树 到 达 目 标 对 象 。 如 果 路 径 中 有 任意 一 个 
目录 不 能 被 这 个 进程 访问 ， 那 么 目标 对 象 也 不 能 被 访问 。 换 句 话 说， 在 一 个 秘密 的 目录 中 ， 一 个 
非 机 密 的 用 户 不 能 读 一 个 非 机 密 的 对 象 。 因 此 ， 将 对 象 放 人 一 个 更 高 安全 级 别 的 目录 中 是 毫 无 
意义 的 ， 并 且 我 们 总 是 要 求 一 个 对 象 的 安全 级 别 能 够 控制 其 父 级 目录 的 安全 级 别 。 这 个 属性 叫 
做 兼容 性 (compatibility) 。 在 现代 操作 系统 (如 UNIX) 中 你 必须 处 理 同 样 的 问题 。 如 果 你 希望 你 
的 文件 可 被 其 他 用 户 访问 ， 也 必须 得 到 设置 目录 路 径 的 访问 权限 。 

BLP 的 状态 集 组 件 的 结合 Multics 现在 我 们 拥有 所 有 必需 的 信息 来 识别 系统 表 和 描述 符 段 中 
的 数据 ， 所 有 必要 信息 。 

。 当前 访问 函数 b: 存储 在 活动 进程 描述 符 段 中 的 SOW 中 ; 在 活动 段 表 中 可 找到 活动 进程 。 

© 访问 控 制 矩阵 M: 由 ACL 描述 ; 对 于 每 个 对 象 而 言 ，ACL 均 存 储 在 对 象 的 父 级 目录 中 ; 

每 一 个 ACL 表 项 都 指定 了 一 个 进程 和 这 个 进程 在 那个 对 象 上 的 访问 权限 。 
。 级 别 函数 f， 主体 的 安全 级 别 存储 在 专门 的 进程 安全 级 别 表 、 进 程 级 别 表 和 当前 级 别 表 
中 ; 对 象 的 安全 级 别 存储 在 它 的 父 级 目录 中 。 


8.3.2 ”转换 BLP 策略 


4. 3. 2 节 已 经 介绍 了 Multics 对 数据 段 和 目录 段 的 访问 属性 。 我 们 也 解释 了 这 些 访问 属 
性 如 何 与 BLP 模型 中 的 访问 控制 权 相 对 应 。 作 为 复习 ， 我 们 将 重申 数据 段 的 访问 属性 ， 作 
为 提醒 。 
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访问 属性 ”访问 权限 


读 r 
执行 e,r 
RAR w 
写 a 


BLP 安全 特性 现在 改称 为 进程 和 数据 段 以 及 存储 在 SDW 中 的 指示 器 的 安全 级 别 。 比 如 ， 对 
* - property 的 阐释 如 下 。 


对 于 一 个 活动 进程 的 描述 符 段 中 的 任何 SDW， 进 程 的 当前 级 别 为 : 

© 如 果 读 或 者 执行 指示 器 处 于 开启 状态 而 写 指 示 器 处 于 关闭 状态 ， 那 么 就 支配 段 级 别 。 

e 如 果 读 指示 器 处 于 关闭 状态 而 写 指示 器 处 于 开启 状态 ， 那 么 就 被 段 级 别 支 配 。 

e 如 果 读 指示 器 处 于 开启 状态 并 且 写 指示 器 也 处 于 开启 状态 ， 那 么 就 等 价 于 段 级 别 。 

图 8-3 显示 了 怎样 验证 * -property 的 兼容 性 。 当 前 进程 的 安全 级 别 Le 保持 在 当前 级 别 表 中 。 
描述 符 段 基 址 寄存 器 (descriptor segment base register, DSBR ) 的 内 容 指向 当前 进程 的 描述 符 段 的 
头 部 。 这 个 描述 符 段 碰巧 为 一 个 对 象 包含 了 SDW, 在 此 访问 控制 权 为 只 读 。 因 此 写 指示 器 处 于 
开启 状态 而 读 指示 器 处 于 关闭 状态 。 对 象 的 安全 级 别 L 是 从 它 的 父 级 目录 推导 出 来 的 ， 并 且 与 
Ly 相 比 较 以 检查 L= Lo 成 立 。 


当前 进程 





当前 级 别 表 








当前 级 别 受 控 于 L, 
图 8-3 访问 属性 Write Only 的 * -property 


8.3.3 ”检查 内 核 原 语 


最 终 ， 必 须 专 门 定 义 一 套 内 核 原 语 (Kemmel primitive) 。 这 些 内 核 原 语 在 Multics 内 核 的 抽象 模 
型 中 是 状态 的 迁移 ， 我 们 必须 证 明 它 们 保持 了 BLP 安全 策略 。 然 后 ， 在 基本 安全 定理 成 立 的 前 
ETF, RIHMA Multics 安全 性 的 证 据 。 当 然 ， 这 不 是 一 个 完整 的 安全 性 的 证 明 。 你 仍然 必须 说 
明 内 核 原 诸 的 实现 过 程 ， 以 及 最 后 它们 在 一 个 给 定 的 硬件 平台 上 的 执行 以 符合 它们 的 规范 。 

我 们 选择 get-read( 获得 阅读 ) 来 从 细节 上 查看 内 核 原 语 。get- read 原 语 将 一 个 进程 D 号 和 一 
EID 号 作为 它 自己 的 参数 。 操 作 系统 必须 核实 : 

e Ei ID K ACL 是 否 存储 在 段 的 父 级 目录 中 ， 是 否 列 出 了 带 有 读 许 可 的 进程 ID。 

。 进程 D 的 安全 级 别 是 否 支配 段 D 的 安全 级 别 。 

。 进程 ID 是 否 是 一 个 可 信任 的 主体 或 者 进程 耳 的 当前 安全 级 别 是 否 支 配 段 D 的 安全 级 别 。 

如 果 这 三 个 条 件 都 满足 ， 那 么 就 允许 访问 。 如 果 不 存在 对 段 ID 的 SDW， 则 有 一 个 相应 的 
SDW 加 到 带 有 开启 的 读 指示 器 的 进程 D 的 描述 符 段 中 。 如 果 在 进程 D 的 描述 符 段 中 已 经 存在 
一 个 对 段 人 D 的 SDW, 那么 在 这 个 SDW 中 的 读 指示 器 就 会 开启 。 如 果 这 三 个 条 件 中 的 任意 一 个 
不 满足 ， 就 不 允许 访问 。 
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以 下 是 更 多 的 一 些 在 Multics 内 核 中 建议 执行 的 原 语 。 

e release- read( 释放 读 ) : 进程 释放 对 象 ; 在 相应 的 SDW 中 ， 读 标志 关闭 ; 如 果 自 此 之 后 没 
有 指示 器 开启 ， 这 个 SDW 就 从 描述 符 段 中 移 除 。 

© give- read( 允许 读 ) : 一 个 进程 授权 对 另 一 个 进程 的 读 访问 权 (DAC) o 

。 rescind- read ( 撤销 读 ) : 一 个 进程 撤销 准许 的 另 一 个 进程 的 读 许 可 。 

© create- object( 创建 对 和 象 ) ， 进程 创建 对 象 ; 操作 系统 必须 核实 在 对 象 目录 段 中 的 写 访问 是 
否 被 允许 ， 以 及 段 的 安全 级 别 能 够 控制 进程 的 安全 级 别 。 

e delete- object( 删 除 对 象 ) : 删除 对 象 时 ， 会 产生 和 在 create- object ( 创建 对 象 ) 时 一 样 的 
核实 。 

e change- subject- current- security-level( 改变 主体 当前 安全 级 别 ) : 操作 系统 必须 核实 在 改变 
中 没有 产生 安全 襄 力 ; 该 内 核 原 语 和 原始 的 改变 对 象 安全 级 别 ， 一 样 都 不 是 为 实现 (稳定 
性 ) 而 设计 的 。 

理想 情况 下 ， 要 研发 处 理 器 以 便 使 它们 的 指令 集 与 操作 系统 的 内 核 原 语 相 吻合 。 相 反 的 ， 内 
核 原 语 必须 设计 为 能 与 已 有 处 理 器 提供 的 支持 相 匹 配 的 形式 。 


8.4 深层 阅读 

BLP 模型 的 最 初 报告 最 近 在 《Journal of Computer Security) ( Bell and Lapadula, 1996) 上 重新 
发 表 了 。AMciean(7990) 的 著作 中 讨论 了 BLP 模型 中 改变 访问 权限 的 策略 框架 的 论题 。 该 研究 著 
作 在 保持 MLS 策略 的 同时 扩展 BLP 模型 的 范围 方面 作出 了 贡献 。 

Denning(1982) 在 他 的 著作 中 综合 论述 了 针对 首 个 多 用 户 操作 系统 的 计算 机 安全 研究 的 成 
果 。Landwehr(1983) 包 含 了 保护 技术 的 进一步 调查 。Moultics 安全 评论 ， 尤 其 是 安全 管理 的 复杂 


性 评论 以 及 对 设计 的 访问 的 正确 性 、 复 杂 性 的 评论 可 参见 Saltzer( 1974) 的 著作 。Multics KEW 
究 的 经 验 讨 论 参 见 Karger and Schell( 2002 ) 的 著作 。 


8.5 练习 


练习 8.1 用 基本 访问 模式 术语 alter( 修 改 ) 和 observe( 查 看) 描述 * -property。 

练习 8.2 识别 BLP 模型 中 更 深层 次 的 隐蔽 信道 。 

练习 8.3 写 一 篇 短文 表明 你 在 Bell 和 McLean 争论 中 的 立场 。 

练习 8.4 BLP 没有 规定 改变 访问 权限 的 策略 ， 你 会 建议 什么 样 的 策略 ? 

练习 8.5 改写 针对 Multics 操作 系统 的 ss- property。 

练习 8.6 详细 说 明 必须 为 允许 写 ( get-write) 和 释放 写 (release-write) 内 核 原 语 而 需要 进行 的 
检查 。 

练习 8.7 详细 说 明 必须 为 创建 对 象 (create- object) 和 删除 对 象 ( delete- object) 内 核 原 语 而 需 
要 进行 的 检查 。 | 

练习 8.8 详细 说 明 必须 为 改变 主体 当前 安全 级 别 ( change- subject- current- security- level ) 内 
核 原 语 而 需要 进行 的 检查 。 





第 9 章 安全 模型 


BLP 模型 被 设计 用 来 捕获 一 种 特定 的 安全 策略 。 它 是 如 此 成 功 ， 以 至 于 有 一 段 时 间 人 们 把 
它 视 为 通常 意义 上 的 “安全 模型 ” 。 考 庸 置疑 该 模型 在 此 方面 也 存在 着 不 足 ， 但 这 并 非 是 吹 毛 求 
辛 。 而 是 由 于 安全 需求 是 取决 于 应 用 的 ， 同 时 ， 现 实生 活 中 存在 与 作为 多 级 别 安 全 起 源 的 军事 环 
境 非常 不 同 的 应 用 。 

本 章 将 更 广泛 地 探讨 安全 模型 。 我 们 将 增加 完整 性 策略 的 模型 (Biba， Clark- Wilson) ， 增 加 
与 BLP 静态 环境 假设 形成 鲜明 对 比 的 、 动 态 改变 访问 权限 的 策略 模型 ( Chinese Wall， 中 国 墙 ) 。 
我 们 也 将 在 更 广 意义 上 使 用 “安全 模型 "这 个 词 。 例 如 ，Clark- Wilson 模型 并 未 给 出 一 个 简单 的 特 
定 策略 的 形式 ， 但 它 给 出 了 一 个 可 描述 的 框架 ， 该 框架 可 以 作为 一 个 蓝图 使 安全 策略 的 宽泛 类 
别 正 式 化 。 我 们 还 将 进一步 讨论 来 自理 论 观 点 的 主要 的 有 价值 的 模型 ， 它 们 提供 了 一 个 证 明 某 
些 有 关 访 问 控制 基本 事实 的 基础 。 

目标 

e 介绍 访问 控制 的 模型 化 技术 的 广泛 范围 。 

。 介绍 商业 安全 策略 的 相关 基本 概念 。 

。 提供 分 析 访 问 控制 问题 的 理论 基础 。 

。 了解 安全 中 的 一 些 决策 问题 本 质 上 是 不 可 判定 的 。 


9.1 Biba 模型 


考虑 用 完整 性 级 别 格 (L，< ) 的 元 素 标注 主体 和 对 象 的 完整 性 策略 ， 该 策略 禁止 “干净 的 "高 
级 别 实体 被 “ 脏 的 ”低级 别 实体 污染 。 在 完整 性 的 格 中 ,信息 只 能 向 下 流动 。 正 如 在 BLP 模型 中 
一 样 ， 我 们 只 关心 自己 的 由 访问 操作 直接 引发 的 信息 流 。 我 们 使 用 “干净 的 ”" 和 “ 脏 的 ”来 速记 高 
完整 性 和 低 完整 性 。 完 整 性 级 别 的 具体 含义 取决 于 给 定 的 应 用 。 

Biba 模型 (1977) 定 义 了 这 类 完整 性 策略 的 格式 。 它 类 似 于 BLP 的 状态 模型 ， 我们 将 使 用 前 
一 章 引 入 的 数学 符号 。 赋 予 主体 和 对 象 的 完整 性 级 别 由 函数 大: SOLAS: OL BE. KR 
BLP 模型 ， 这 里 没有 唯一 的 高 级 别 的 完整 性 策略 。 相 反 ， 存 在 不 同 的 方式 ， 有 的 甚至 会 产生 相 
互 不 兼容 的 策略 。 


9.1.1 静态 完整 性 级 别 


对 应 BLP 的 稳定 性 ， 我 们 可 以 规定 完整 性 级 别 不 变 的 策略 ， 以 下 两 个 策略 阻止 干净 的 主体 
和 对 象 被 脏 的 信息 污染 。 i 

简单 完整 性 ”如果 主体 * TEAR, MAS (s)ef(0). (AMES) 

完整 性 * - Property 如 果 主 体 * 可 以 读 ( 查 看 ) 对 象 "， 那么 仅 当 fo(p) <fo(0) 时 ， s 可 以 写 
访问 另 一 个 对 象 p。 

这 两 个 完整 性 特性 是 强制 性 BLP 策略 的 对 偶 ， 也 是 主张 完整 性 是 机 密 性 的 对 偶 的 基础 。 
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9.1.2 动态 完整 性 级 别 


如 果 一 个 实体 已 经 接触 了 低级 别 的 信息 ， 下 面 两 个 完整 性 属性 将 自动 调整 (adjust) 该 实体 的 
完整 性 级 别 。 完 整 性 级 别 inf(fs(s), fo(o)) 是 (5s) 和 Jf。(o) 最 好 的 低 限 ， 它 在 我 们 处 理 一 个 完 
整 性 级 别 的 格 时 被 很 好 地 定义 。 

主体 低 水 印 性 FAs 可 以 读 (查看 ) 任 何 完整 性 级 别 上 的 对 象 6， 主体 的 新 的 完整 性 级 

IÆ mfl Cs), fo(O)), 其 中 fs(s) 和 fo(0) 是 操作 前 的 完整 性 级 别 。 

对 象 低 水 印 性 ”主体 s 可 以 修改 任何 完整 性 级 别 上 的 对 象 0。， 对 象 的 新 的 完整 性 级 别 是 

inf(f;(s), fo(O)), 其 中 fs(s) 和 fo(o) 是 操作 前 的 完整 性 级 别 。 


这 些 是 动态 改变 访问 权限 策略 的 例子 。 由 于 完整 性 级 别 只 能 降低 ， 故 存在 所 有 的 主体 和 对 
象 最 终 终止 于 最 低 的 完整 性 级 别 的 危险 。 


9.1.3 调用 的 策略 


可 以 扩展 Biba 模型 以 包含 访问 操作 调用 。 主 体 可 以 调用 (invoke ) 另 一 个 主体 (如 软件 工具 ) 
来 访问 对 象 ， 这 是 向 在 中 间 层 上 表达 的 访问 控制 迈 出 的 第 一 步 。 应 当 用 什么 样 的 策略 来 控制 调 
用 ?如果 我 们 想 确保 调用 不 会 绕 过 强制 性 完整 性 策略 (mandatory integrity policy) ， 我 们 可 以 加 入 


调用 性 As 可 以 调用 主体 s,， 仅 当 fs(s,) 所 fs(s1)。o 


主体 只 允许 在 较 低 级 别 上 调用 工具 ， 否 则 的 话 ， 一 个 脏 的 主体 可 使 用 一 个 干净 的 工具 去 访 
间 ， 并 且 可 能 污染 一 个 干净 的 对 象 。 . 

另 一 种 情况 是 ， 我 们 可 能 仅 想 因 此 目的 而 使 用 工具 。 脏 的 主体 应 该 可 以 访问 于 净 的 对 象 ， 只 
要 它 使 用 一 个 干净 的 工具 来 访问 ( 受 控 的 调用 ) ， 这 个 工具 可 以 执行 许多 一 致 性 检查 ， 确 保 对 象 
仍然 保持 于 净 。 操 作 系统 中 的 保护 环 (4. 6.4 节 ) 完 整 性 保护 机 制 就 属于 此 类 。 在 这 种 情形 下 ， 我 
们 可 能 不 希望 拥有 较 多 特权 的 主体 使 用 较 少 特权 的 工具 ， 我 们 可 以 采用 


环 属 性 主体 可 以 读 任何 完整 性 级 别 上 的 对 象 ， 它 只 能 在 fo(0) 三 f(s) 时 修改 对 象 
2， 仅 当 六 (5 ) 和 六 (9 ) 时 可 以 调用 主体 5,。 


很 显然 ， 最 后 两 个 特性 是 不 一 致 的 ， 我 们 必须 根据 应 用 来 决定 娜 种 特性 更 合适 。 
9.2 中国 墙 模型 


Brewer and Nash( 1989) 提 出 的 中 国 墙 模型 模拟 了 咨询 公司 的 访问 规则 ， 分 析 员 必须 保证 他 
们 与 不 同 客户 的 交易 不 会 引起 利益 冲突 。 通 俗 一 点 说 ， 冲 突 的 产生 是 因为 客户 是 同一 个 市 场 的 
直接 竞争 者 或 者 是 因为 公司 的 所 有 权 。 分 析 员 必须 遵循 以 下 安全 策略 : 

一 定 不 能 有 引起 利益 冲突 的 信息 流 。 

Bell- LaPadula 模型 的 状态 集 需 要 一 些小 的 调整 来 实现 这 个 策略 : 

。 公司 的 集合 用 CRA. 

。 分 析 员 是 主体 ， 而 8 是 主体 的 集合 。 对 象 是 信息 条 目 ， 每 一 对 象 均 指 向 一 个 独立 的 公司 ， 

对 象 的 集合 用 O 表示 。 

。 有 关 同 一 公司 的 所 有 对 象 集中 放 在 一 个 公司 数据 集 (company dataset) H, Ry! O-C 

给 出 了 每 个 对 象 的 公司 数据 集 。 

e 利益 冲突 类 ( Conflict of interest) 指出 哪些 公司 在 相互 竞争 ， 函 数 拓 0 一 P(C) 给 出 了 每 个 
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对 象 的 利益 冲突 交 ， 即 不 应 该 知道 该 对 象 内 容 的 公司 集合 
© XR o 的 安全 标签 (security label) 是 (x(o) ，y(o) ) 。 
o 净化 的 信息 (Sanitized information) 被 去 除了 敏感 的 细节 ， 不 受 访问 限制 的 控制 。 一 个 被 净 
化 的 对 象 的 安全 标签 为 (由 ，y(o) ) 。 
利益 冲突 的 产生 不 仅 与 当前 访问 的 对 象 有 关 ， 也 与 过 去 访问 过 的 对 象 有 关 ， 因 此 我 们 需要 
一 个 记录 主体 行为 的 数据 结构 。 为 此 目的 ， 我 们 引入 了 一 个 布尔 型 8x O 矩阵 W， 其 中 
en » MREK s 访问 过 对 象 o 
假 (false) ， 如 果 主 体 s 从 未 访问 过 对 象 
对 所 有 的 sesS 和 OcOnRE N, , =false， 将 得 到 一 个 填充 如 下 安全 属性 的 初始 状态 。 
第 一 个 安全 策略 涉及 直接 信息 流 。 我 们 希望 阻止 一 个 主体 遭受 利益 冲突 ， 因 此 仅 当 对 象 请 
求 属于 以 下 情形 时 访问 才 被 允许 : 
es。 用户 已 经 拥有 的 一 个 公司 数据 集 。 
。 一 个 完全 不 同 的 利益 冲突 类 。 
我 们 可 以 将 它 正式 地 表示 成 ss- property. 


主体 5 允许 访问 对 象 0, 仅 当 对 于 所 有 N,。 = true 的 对 象 0， 有 >y(o) =y(o') KR y(o) 
€x(0'). 


该 属性 本 身 没 有 完全 实现 规定 的 安全 策略 ， 仍 有 可 
能 发 生 间接 信息 流 。 接 下 来 一 起 看 看 下 面 的 例子 (图 
9-1) 。 两 个 竞争 者 ，4 公司 和 B 公司 ， 在 同一 家 银行 开 
有 账户 。 处 理 4 公司 与 银行 业务 的 分 析 员 4， 用 4 公司 利益 
的 敏感 信息 更 新 银行 资产 负债 表 ; 处 理 B 公司 与 银行 业 
务 的 分 析 员 8B， 现在 可 以 访问 到 竞争 者 的 经 营 信 息 。 因 
此 ,我 们 引入 * -property 来 控制 写 访问 。 


主体 5s 允许 对 对 象 o 进行 写 访问 , 仅 当 s 对 y(o) 关 
y(o') fo x(0') 关中 的 对 象 0' 没 有 读 访问 权 。 


仅 当 没 有 其 他 的 位 于 不 同 公司 数据 集 ， 且 包含 非 净 化 信息 的 对 象 能 被 阅读 时 ， 对 一 个 对 象 
的 写 访问 才 是 允许 的 。 在 图 9-1 的 例子 中 ， 两 个 写 操作 将 被 * -property 属性 阻止 。 * -property 属 
性 阻止 未 净化 的 信息 流出 公司 的 数据 集 。 

与 访问 权限 通常 假设 为 静态 的 BLP 不 同 ， 你 现在 看 到 的 模型 是 在 每 次 状态 迁移 中 访问 权限 
都 要 重新 赋值 。 


9.3 Clark-Wilson 模型 


Clark and Wilsonr(7987) 研 究 了 商务 应 用 的 安全 性 需求 。 他 们 认为 这 些 需求 主要 是 关于 ( 数 
据 ) 完 整 性 的 ， 即 防止 未 授权 的 数据 修改 、 欺 骗 和 错误 。 这 是 一 个 相当 广泛 的 完整 性 定义 。 事 实 
上 ， 作 者 甚至 在 其 中 包括 了 并 发 控制 的 问题 ， 该 问题 超出 了 我 们 的 安全 范围 。 完 整 性 要 求 被 分 成 
两 部 分 : 

。 内 部 一 致 性 (Intemal consistency): 涉及 系统 内 部 状态 的 属性 ， 可 通过 计算 系统 实施 。 

© 外 部 一 致 性 (External consistency): 涉及 系统 内 部 状态 和 真实 世界 的 联系 ， 必须 通过 计算 

系统 以 外 的 手段 来 实施 ， 如 审计 。 
实施 完整 性 的 一 般 机 制 是 : 





图 9-1 利益 冲突 类 中 的 间接 信息 流 
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e 组 织 良好 的 事务 (well- formed transaction): 数据 项 只 能 通过 一 组 特定 的 程序 来 操作 ; 用户 
可 以 访问 程序 而 不 是 数据 项 。 

© 责任 分 离 (separation of duties): 用 户 必须 协同 起 来 才能 操作 数据 和 穿 透 安 全 系统 。 

责任 分 离 在 一 个 安全 系统 的 操作 中 反复 出 现 。 因 而 要 求 不 同 的 人 开发 、 测 试 、 证 明和 运作 一 
个 系统 是 合理 的 。 反 过 来 ， 也 可 能 要 求 不 同 的 人 在 操作 中 协同 工作 才能 实现 一 个 事务 。 

Clark- Wilson 模型 用 程序 作为 主体 和 对 象 (数据 项 ) 之 间 的 中 间 控 制 层 ， 主 体 被 授权 执行 某 些 
程序 ， 数 据 项 可 通过 特定 的 程序 访问 (图 9-2) 。 定 义 可 以 访问 某 个 特定 类 型 数据 的 程序 集 是 软件 
工程 的 一 种 常用 机 制 [ 见 抽象 数据 类 型 (abstract data type) —- Denning, 1982; ,面向 对 象 程序 设计 
( object- oriented programming) ] ， 这 种 机 制 可 以 被 卓有成效 地 运用 到 构造 安全 的 系统 中 。Clark 和 
Wilson 写 到 “用 程序 而 不 是 安全 级 别 来 标记 主体 和 对 象 "， 这 是 对 BLP 影响 力 的 一 个 有 力 证 明 。 








许可 检查 


图 9-2 Clark- Wilson 模型 中 访问 控制 的 基本 原理 


在 Clark- Wilson 模型 中 ， 完 整 性 意味 着 “被 授权 将 一 个 程序 应 用 到 可 以 被 该 程序 访问 的 一 个 
数据 项 上 ”。Clark 和 Wilson 强调 了 军事 安全 与 高 业 安全 要 求 之 间 的 区 别 ， 观 察 表 明 机 密 性 和 完 
整 性 的 相对 重要 性 在 这 两 个 世界 中 是 不 同 的 ， 但 是 也 存在 着 有 完整 性 要 求 的 军事 应 用 和 有 机 密 
性 要 求 的 商业 应 用 。 对 我 们 来 说 ， 还 有 一 个 更 相关 的 区 别 ，Clark- Wilson 模型 中 的 访问 操作 是 执 
行 复杂 的 特定 应 用 操作 的 程序 ， 而 BLP 中 的 访问 操作 是 简单 的 、 通 用 的 和 适合 操作 系统 的 ， 因 
此 我 们 看 到 了 通用 操作 系统 (BLP) 和 面向 应 用 的 IT 系统 (Clark- Wilson) 之 间 的 区 别 。 

总 的 说 来 ，Clark- Wilson 模型 考虑 以 下 几 点 : 

(1) 主体 必须 被 识别 和 认证 。 

(2) 对 象 只 能 通过 一 组 规定 的 程序 进行 操作 。 

(3) 主体 只 能 执行 一 组 规定 的 程序 。 

(4) 必须 维护 一 个 正确 的 审计 日 志 。 

(5) 系 统 必 须 被 证 明 能 够 正确 工作 。 

在 该 模型 的 正式 描述 中 ， 安 全 策略 所 控制 的 数据 项 被 称 为 约束 数据 项 (CDI) ， 系 统 输入 作为 
非 约束 数据 项 (UDI) 。UDI 到 CDI 的 转换 是 系统 关键 的 一 部 分 ， 它 不 能 光 靠 系统 中 的 安全 机 制 来 
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控制 。CDI 只 能 通过 变换 程序 (TP) 来 操作 ， 状 态 的 完整 性 通过 完整 性 验证 程序 (IVP) 来 检查 。 

安全 属性 是 通过 五 条 证 明 规 则 (certification rule，CR ) 定义 的 ， 这 些 证 明 规 则 说 明了 为 使 安 
全 策略 符合 应 用 需求 而 应 该 进行 的 检查 。 

CRI IVP 必须 确保 当 IVP 运行 时 所 有 CDI 处 于 有 效 状 态 (CDI 上 的 完整 性 检查 ) 。 

CR2 TP 必须 被 证 明 是 有 效 的 ， 即 有 效 的 CDI 必须 总 是 被 变换 成 有 效 的 CDI。 每 个 TP 获准 
访问 一 组 特定 的 CDI。 

CR3 ”访问 规则 必须 满足 任何 责任 分 离 要 求 。 

CR4 所 有 TP 必须 写 人 一 个 只 能 添加 的 日 志 中 。 

CR5 任何 一 个 接受 UDI 作为 输入 的 TP， 要 人 么 必须 将 UDI 转换 成 CDI， 要 人 么 必须 拒绝 该 
UDI， 并 且 不 进行 任何 变换 。 

四 条 实施 规则 (enforcement rule，ER ) 描 述 了 应 实施 安全 策略 的 计算 机 系统 其 内 部 的 安全 机 
制 ， 这 些 规 则 同 BLP 中 的 自主 访问 控制 有 些 类 似 。 

ER] 系统 必须 维护 和 保护 (CDIa，CDIb5，... ) 列 表 ， 该 列表 给 出 了 TP 获准 访问 的 CDI。 

ER2 系统 必须 维护 和 保护 (TP1，TP2... ) 列 表 ， 该 列表 规定 了 用 户 可 以 执行 的 TP。 

.ER3 系统 必须 认证 每 一 个 请 示 执 行 TP 的 用 户 。 

ER4 只 有 可 以 授予 TP 访问 规则 的 主体 才能 修改 列表 中 相应 的 表 项 ， 这 个 主体 必须 不 具有 
在 该 TP 上 的 执行 权限 。 

最 后 请 注意 ，Clark- Wilson 模型 实际 上 是 设计 安全 策略 的 一 个 框架 和 指导 方针 (“模型 ”)， 
而 不 是 一 个 具体 安全 策略 的 模型 。 


9.4 Harrison- Ruzzo- Ullman 模型 


BLP 模型 没有 就 改变 访问 权限 或 创建 、 删 除 主 体 与 对 象 的 规定 策略 ，Harrison- Ruzzo- Uliman 
(HRU) 模 型 定义 了 解决 这 些 问题 的 授权 系统 (authorization system) 。 为 描述 HRU 模型 ， 我 们 
需要 : 

。 一 个 主体 集合 So 

。 一 个 对 象 集合 Oo 

© 一 个 访问 权限 集合 Ro 
e 一 个 访问 矩阵 M = (M,,) 250003 元素 M Æ RETR, 说 明了 主体 s 对 对 象 o 拥有 的 
权限 。 

有 六 种 原 语 操作 (primitive operation) 用 于 处 理 主体 集 、 对 象 集 和 访问 矩阵 : 

e enter r into M 
e delete r from M,, 
e create subject s 
e delete subject s 
e create object o 
e delete object o 

HRU 模型 中 的 命令 有 下 格式 : 

command c(x,, °°, %,) 
if r, in M, , and 
if r, in M, and 
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ifr, in M, o, 
then 
op, 
op, 
op, 
end 
FERS, esa 和 o,;，…o。 是 参数 表 (x,，…x,) 中 出 现 的 主体 和 对 象 。 条 件 列 表 检 查 特定 的 访 
问 权限 是 否 出 现 ， 条 件 列表 可 以 为 空 。 如 果 所 有 的 条 件 成 立 ， 那 么 基本 的 操作 序列 将 被 执行 。 每 
个 命令 至 少 包含 一 个 操作 ， 比 如 命令 
command create_ file(s, f) 
create f ` 
enter o into M, ; 
enter r into M,, 
enter w into M,, 
end 
是 由 主体 * 用 来 创建 一 个 新 的 文件 f， 因 而 s 是 文件 的 属 主 (访问 权限 o) ， 并 且 对 文件 有 读 和 
写 的 许可 权限 (访问 权限 r 和 w) 。 文 件 / 的 属 主 * 用 以 下 命令 将 读 访问 授予 另 一 个 主体 p: 
command grant _read(s, p, f) 
ifoin M,, 
then enter r in M,, 
end 
访问 矩阵 描述 了 系统 的 状态 。 命 令 的 结果 作为 访问 矩阵 的 变化 被 记录 下 来 。 习 惯 上 用 MM' 表 
示 修 改 后 的 访问 控制 矩阵 。HRU 模型 能 够 获得 调整 访问 权限 分 配 的 安全 策略 。 为 了 验证 一 个 系 
统 符合 这 种 策略 ， 必 须 检 查 不 存在 授予 不 希望 的 访问 权限 的 情况 。 
称 一 个 状态 ( 即 访问 乱 阵 M) 泄漏 (leak) 了 权限 r， 即 是 指 如 果 存 在 一 个 命令 c 将 权限 
加 到 了 访问 迁 阵 中 一 个 原先 不 包 会 7 的 位 置 上 。 更 正式 的 表述 是 ， 存 在 s 和 o， 使 得 rg 
M,。， 但 是 re M',。o 
称 一 个 状态 ( 即 访问 给 阵 M) 关 于 权限 了 是 安全 的 ， 即 是 指 如 果 没 有 一 个 命令 序列 能 够 
将 M 变换 到 泄露 了 的 状态 。 
因此 ， 在 HRU 模型 中 验证 安全 策略 的 符合 性 归结 为 验证 安全 属性 (参见 9.6 节 )。 然 而 ， 现 
在 你 会 发 现 自己 处 于 一 个 相当 乾 熔 的 情形 。 
定理 ”给 定 一 个 访问 矩阵 M 和 一 个 权限 r， 则 财 关于 权限 了 的 安全 性 是 一 个 不 可 判定 的 
28 (Harrison, RuZZD and Ullman, 1976). 


因此 ， 你 不 能 一 般 性 地 解决 安全 问题 ， 而 必须 通过 约束 模型 来 获得 更 好 的 成 功 机 会 。 比 如 ， 
你 可 以 只 允许 单 操作 系统 (mono- operational system) ， 该 系统 中 每 个 命令 只 包含 单一 操作 。 


定理 ”给 定 一 个 单 操作 的 授权 系统 、 一 个 访问 甜 阵 M 和 一 个 权限 r， 则 M 关于 权限 了 的 
安全 性 是 一 个 可 判定 的 问题 (Harrison，Ruzzo and Ullman, 1976), 


限制 授权 系统 的 大 小 是 使 得 安全 问题 易于 处 理 的 另 一 种 方法 。 
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定理 ”如 果 主 体 的 数量 是 有 限 的 ， 那 么 自由 授权 系统 的 安全 问题 是 可 判定 的 (Lipton and 
Snyder, 1978) 。 


这 些 关 于 安全 问题 可 判定 性 的 结论 揭示 了 第 三 条 设计 原则 的 大 致 内 容 (2.4.3 节 ) 。 如 果 设 计 
的 复杂 系统 只 有 用 复杂 的 模型 来 描述 ， 那 么 要 找到 安全 证 明 相 当 困 难 。 在 最 坏 情况 下 (不 可 判定 
性 )， 不 存在 一 个 验证 所 有 问题 实例 安全 性 的 通用 算法 。 如 果 需 要 可 验证 的 安全 特性 ， 最 好 限制 
安全 模型 的 复杂 性 。 这 样 的 模型 可 能 无 法 描述 所 有 希望 获得 的 安全 特性 ， 但 是 你 可 以 获得 有 效 
的 验证 “安全 性 "的 方法 。 因 此 ， 设 计 能 够 用 简单 模型 充分 描述 的 简单 系统 是 明智 之 举 。 如 果 系 
统 和 模型 间 存 在 太 大 的 差距 ， 模 型 中 的 安全 证 明 就 没有 多 大 意义 了 。 

经 验 教 训 

安全 模型 的 表达 能 力 (包括 安全 属性 和 它 能 够 描述 的 系统 ) 越 强 ， 验 证 安全 属性 通常 也 越 
困难 。 


9.5 信息 流 模型 


在 BLP 模型 中 ， 信 息 可 以 通过 隐藏 信道 从 一 个 高 安全 级 别 流 到 一 个 低 安全 级 别 。 信 息 流 模 
型 (information flow model) 考 虑 了 所 有 形式 的 信息 流 ， 而 不 光 是 由 BLP 模拟 的 通过 访问 操作 的 直 
接 信息 流 。 口 语 化 的 表述 为 ， 如 果 能 够 通过 观察 y 获得 更 多 关于 x 的 信息 ， 状 态 迁 移 即 会 引发 从 
对 象 x 到 对 象 y 的 一 个 信息 流 。 如 果 已 知 x， 那 就 没有 信息 能 从 x 流出 。 可 以 区 分 以 下 两 种 情况 : 
e 显 式 信息 流 ; ERE y =x;” 后 查看 y， 揭 示 x 值 。 
RAR Ea: 在 条 件 语句 “过 x =0 then y: =1;” 后 查看 y， 可 以 获得 有 关 x 的 一 些 信息 一 一 
即使 赋值 “y: =1;” 没 有 被 执行 。 比 如 ， 如 果 y =2， 可 知 x 关 0。 


9.5.1 APE 


精确 和 定量 的 信息 流 定 义 可 以 用 信息 理论 的 观点 给 出 。 从 一 个 观察 对 象 得 到 的 信息 量 可 以 
用 我 们 正在 观察 的 对 象 (变量 ) SRE Rix, +, .1 为 变量 x 的 可 能 取 值 , 设 p(x,) 为 x 
取 xx, 值 的 概率 ，1 <i<n。 则 x 的 焙 五 (x) 定 义 为 

A(x) 一 一 2, p(x, )log,p(x,) 

例如 , 设 x 取 0 到 2” -1 之 间 的 所 有 值 的 概率 相等 ， 则 

H(x) = -5 到 log:( 去 ) = =w 

即 ， 如 果 所 有 长 度 为 w 的 单词 具有 等 同 的 可 能 性 ， 则 一 个 长 度 为 w 的 二 进 制 单词 携带 w 比 
特 的 信息 。 

x 到 y 的 信息 流 用 给 定 y 的 值 后 的 x HR EER) 的 变化 来 度量 。 令 | x, ， 
IIR Y’ o Yn) 分 别 是 变量 x 和 yy 为 概率 p(x,) 和 g(y,) 的 可 能 取 值 , pC, y) 为 x 和 y 取 
x, My, 值 的 联合 概率 , pl yy) 为 y 取 y 值 时 x 取 x 值 的 条 件 概率 ， 则 给 定 y 的 值 后 的 x 的 
RH, (x) EMA 

H,(x) =- 2 2, Ps) logsp( x | y;) 
BS p(x, yA p(x! yao) PTAR 
H,(x) = 一 之 4(7) 之 p( | y,) log p(x, | y;) 
作为 一 个 例子 ， 可 考虑 上 面 的 赋值 “过 x=0 then y: =1;”, 设 x 和 yy 为 二 进 制 变量 , y 的 初始 
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HRA O, x 的 两 个 值 很 可 能 相等 ， 有 
p(010)=p(111)=0, p(110)=p(011)=1, Bk H,(x) =0 
事实 上 ， 在 执行 赋值 后 观察 y， 可 以 知道 x 的 确切 值 ，x 中 的 所 有 信息 流入 了 y。 如 果 x 为 0， 


1，2 的 概率 相等 ， 将 得 到 4(0) =, g(1) =<, 
p(010) =p(11 1) =p(211) =0, p(110) =p(21 0) =+, p(01 1) =1, LH, (x) == 


9.5.2 基于 格 的 模型 


信息 流 模 型 的 组 成 部 分 是 : 

。 一 个 安全 标签 的 格 (L，< )。 

。 一 组 加 了 标签 的 对 象 集 。 

。 安全 策略 : 仅 当 ci cs 时 允许 从 标签 为 c 的 对 象 到 标签 为 c, 的 对 象 的 信息 流 ; 任何 违反 

该 规则 的 信息 流 均 非 法 。 

如 果 没 有 非法 的 信息 流 ， 系 统 就 被 称 为 是 安全 的 。 这 种 模型 的 好 处 是 它 覆 盖 了 所 有 类 型 的 
信息 流 。 其 缺点 是 设计 安全 的 系统 变 得 更 加 困难 。 比 如 ， 已 经 证 明 ， 要 检查 在 信息 流 模型 中 给 定 
系统 是 否 安全 ， 是 一 个 不 可 判定 的 问题 。 

此 外 ， 我 们 必须 区 分 信息 流 策略 的 静态 和 动态 实施 。 前 者 ， 系 统 ( 程序) 被 看 成 是 一 个 静态 
对 象 。 后 者 认为 系统 处 在 执行 中 。 我 们 可 能 发 现 有 些 信息 流 在 理论 上 是 可 能 的 (因此 应 当 在 静态 
分 析 中 检测 ) ， 却 永远 不 会 在 执行 过 程 中 发 生 。 因 此 静态 分 析 趋 向 生成 限制 性 过 强 的 系统 。 

不 干扰 (noninterference) 模 型 是 信息 流 模 型 的 替代 方案 ， 它 们 提供 了 一 个 不 同 的 形式 来 描述 
主体 所 知道 的 系统 状态 。 如 果 s, 的 行为 对 s 的 系统 视图 没有 影响 ， 那 么 主体 % 不 干扰 主体 s,。 
目前 ， 信 息 流 和 不 干扰 模型 只 是 研究 领域 ， 而 不 是 设计 安全 系统 的 实用 方法 论 基础 。 

9.6 执行 监控 器 

前 面 的 两 节 显示 了 某 些 安全 问题 是 不 可 判定 的 ， 不 存在 一 个 应 对 这 类 问题 所 有 情形 的 一 般 
算法 。 现 在 ， 我 们 的 理论 研究 在 走 一 条 不 同 的 途径 ， 从 目前 使 用 的 典型 访问 控制 机 制 和 描述 这 些 
机 制 可 能 实施 的 策略 的 特征 人 手 。 毕 况 一 条 策略 只 有 能 被 合理 有 效 地 实施 ， 它 才 是 实际 有 用 的 。 
我 们 来 考虑 安全 策略 的 三 个 级 别 (Schneider，2000) 

© 访问 控制 策略 定义 了 能 够 在 对 象 上 作业 的 操作 主角 的 限制 。 

。 信 息 流 策略 能 够 限制 主角 通过 观察 系统 行为 而 推断 出 的 对 象 的 信息 (参见 9.5 节 )。 

。 可 用 性 策略 限制 主角 拒绝 其 他 人 使 用 资源 。 

目前 ， 访 问 控制 机 制 通常 部 署 在 防火 墙 、 操 作 系统 、 类 似 CORBA 的 中 间 件 架构 或 Web 服 
务 中 ， 这 些 机 制 观察 (监控 ) 着 系统 的 运行 ， 并 且 在 某 步 执行 操作 被 给 定 的 安全 策略 禁止 时 于 预 
该 操作 。 执 行 监控 器 (Execution Monitoring, EM) 这 个 词 由 Schneider(2000) 引 入 ， 用 于 指 这 种 机 
制 的 实施 一 一 监控 目标 系统 的 执行 步 又 并 在 违反 安全 策略 的 事件 即将 发 生 时 终止 目标 的 执行 。 

执行 监控 器 有 两 个 重要 的 限制 。 第 一 ， 它 们 不 包括 目标 系统 的 模型 ， 所 以 不 能 预测 观察 的 执 
行 继续 下 去 的 可 能 结果 ; 而 且 它们 也 不 能 修改 目标 系统 。 例 如 ， 编 译 器 和 定理 证 明 程 序 的 工作 是 
通过 分 析 目 标 系统 的 静态 表现 ， 可 以 推导 出 目标 所 有 可 能 执行 的 信息 ， 因 此 这 些 方 法 不 属 EM 机 
制 。 第 二 ，EM 机 制 在 一 个 目标 执行 前 不 能 修改 它 。 因 此 内 联 引用 监控 器 和 面向 对 象 系统 中 的 反 
射 器 不 属于 EM 一 类 。 
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9.6.1 执行 属性 


目标 系统 的 执行 是 一 系列 的 步 又， 这 些 步 又 的 准确 性 质 依赖 于 实际 的 目标 。 典 型 实例 要 数 
内 存 访问 操作 和 文件 访问 操作 。 在 我 们 的 一 般 性 讨论 中 ,， 令 y 表示 所 有 的 有 限 和 无 限 的 步 又 序 
WHR, Ls 表示 代表 目标 系统 5 的 执行 的 序列 。 安 全 策略 p 定义 为 执行 集合 上 的 一 个 谓词 。 
WR p Ls) 为 真 则 目标 $ 满足 安全 策略 po HU 模型 的 安全 属性 是 安全 策略 的 提取 (BLP，Biba 
和 中 国 墙 策略 也 是 如 此 )。 

令 表 示 一 个 执行 的 集合 ， 一 个 可 由 执行 监控 器 实施 的 安全 策略 p 必须 用 一 个 如 下 形式 的 谓 
词 指 定 

P(Z): (Vee XL: p(o)) 

其 中 p 是 一 个 单独 执行 上 的 谓词 ， 这 个 观察 提供 了 一 个 指向 线性 时 间 并 发 程序 验证 文献 的 连 
接 (Alpern and Schneider，1985)。 其 中 ， 如 果 一 个 元 素 的 成 员 关 系 由 该 元 素 自身 独立 决定 而 不 是 
由 集合 中 其 他 成 员 决 定 ， 则 执行 的 一 个 集合 TC 下 称 为 一 个 属性 。 因 此 ， 一 个 安全 策略 必须 是 一 
个 具有 EM 中 实施 机 制 的 属性 。 

然而 ， 并 非 所 有 的 安全 策略 都 是 属性 ， 某 些 安全 策略 不 能 被 定义 为 单独 执行 上 的 一 个 谓词 。 
例如 ; 信息 流 策略 要 求 低 级 别 用 户 不 能 区 分 高 级 别 用 户主 动 参与 的 执行 和 未 主动 参与 的 其 他 
执行 。 

此 外 ， 也 不 是 所 有 的 属性 都 是 EM 可 实施 的 ，EM 中 的 实施 机 制 对 一 个 执行 做 出 判定 时 不 能 
看 到 将 来 的 情形 。 考 虑 这 样 一 个 执行 v， 它 遵从 安全 策略 但 是 具有 一 个 不 遵从 安全 策略 的 前 组 
o', 口语 化 的 表述 是 ,该 执行 会 经 历 一 个 “ 非 安 全 ”的 状态 , 但 最 终 会 被 允许 。 作 为 一 个 简单 的 
例子 ， 可 以 参看 : 要 求 为 每 一 个 “打开 文件 "命令 匹配 “关闭 文件 "命令 的 策略 。 一 个 执行 监控 器 
必须 禁止 一 个 非 安 全 的 前 缀 并 停止 后 面 安全 的 执行 。 就 这 样 的 策略 而 言 ，EM 成 为 了 一 种 保守 的 
方法 ， 它 会 阻止 一 些 没有 必要 阻止 的 执行 。 


9.6.2 ”安全 性 和 活动 性 


在 执行 属性 中 有 两 个 应 用 广泛 的 类 特别 重要 : 
e 安全 属性 : 不 会 发 生 没有 糟糕 的 情形 。(HRU 模型 中 访问 矩阵 的 “安全 ”属性 实际 上 适合 
此 处 的 描述 。) 

e 活动 属性 : 某 些 好 的 情形 最 终 会 发 生 。 

在 安全 性 和 执行 监控 器 可 实施 的 策略 类 型 之 间 存 在 密切 的 关系 。 我 们 将 通过 描述 它们 的 补 
充 特 征 来 正式 定义 安全 属性 。 在 此 定义 中 ， 序 列 oe 科 的 前 i 步骤 用 o[.. 门 来 表示 。 如 果 对 于 每 
一 个 有 限 或 无 限 的 执行 ， 下 式 均 成 立 ， 则 属性 工 被 称 为 安全 属性 (Lamport，1985 ) 。 

osgT= ji(VreY: ol..i]lr¢T) 

如 果 一 个 执行 o 是 不 安全 的 ， 那 么 一 定 存在 某 个 点 i， 在 该 点 之 后 不 再 可 能 返回 到 安全 的 后 
续 执行 中 。 

如 果 一 个 安全 策略 的 执行 集合 不 是 一 个 安全 属性 ， aia 
执行 的 不 安全 执行 。 正 如 我 们 上 面 讨 论 的 ， 这 些 属性 (策略 ) 没 有 来 自 EM 的 实施 机 制 ， 

如 果 策 略 不 是 安全 属性 则 它 不 是 EM 可 实施 的 。 抛 开 其 他 方法 ， 由 近 吕 六 省 的 是 安全 属性 的 
安全 策略 。 然 而 ， 并 不 是 所 有 的 安全 属性 都 具有 EM 实施 机 制 的 。 

证 我 们 回 到 开始 时 的 安全 策略 的 三 个 级 别 ， 来 总 结 一 下 我 们 的 发 现 

。 访问 控制 策略 定义 安全 性 ; 以 尝试 不 能 被 接受 的 操作 而 终止 的 部 分 执行 将 被 禁止 。 
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。 信 息 流 策略 未 定义 属于 属性 的 执行 集合 ; 因此 ， 信 息 流 不 能 是 安全 属性 ， 也 不 可 能 被 EM 
实施 。 
。 可 用 性 策略 未 定义 安全 性 ; 任何 部 分 的 执行 均 可 被 扩展 ， 因 此 主角 最 终 将 获得 资源 的 访 
问 权 。 
涉及 最 大 等 待 时 间 (MWT; Gligor, 1984) 的 可 用 性 策略 是 安全 属性 。 一 旦 某 个 执行 等 待 超 
过 了 MWT， 则 任何 扩展 自然 也 就 违反 了 有 效 性 策略 。 
9.7 深层 阅读 
安全 模型 方面 的 研究 调查 参见 Landwehr( 1983 ) 和 McLean (1994 ) 的 著作 。Clark and Wilson 
(1987) 的 原创 论文 是 值得 大 力 推荐 的 读物 。Karger( 1991) 的 著作 描述 了 Clark- Wilson 模型 的 使 用 
性 能 的 实现 。T M. 已 Lee(71997) 的 著作 中 提出 Biba 模型 的 一 种 轻 度 扩展 提供 了 多 种 强制 性 用 于 
实现 Clark- Wilson 模型 的 完整 性 控制 。HRU 模型 和 信息 流 模型 的 可 判定 性 特性 的 详细 介绍 ， 包 
括 定 义 、 证 明和 更 多 的 理论 ， 请 参见 Denning (7982 ) 的 著作 。 非 干扰 模型 ， 请 参考 Goguen and 


Meseguer 论文 。Bieber et al (2000) 和 Schellhorn et al. (2000) 的 著作 描述 了 智能 卡 安全 评估 中 安 
全 模型 的 应 用 。 


9.8 练习 


练习 9.1 Biba 模型 可 以 捕获 很 多 完整 性 策略 ， 举 出 以 下 策略 适合 的 应 用 领域 的 例子 : 

。 具有 静态 完整 性 标签 的 策略 。 

。 具有 动态 可 变 完整 性 标签 的 策略 。 

。 环 属性 。 

练习 9.2 你 能 够 用 Bell- LaPadula 和 Biba 同时 建立 机 密 性 和 完整 性 模型 吗 ? 你 能 在 两 个 策 
路 中 使 用 相同 的 安全 性 标签 吗 ? 

练习 9.3 你 能 将 中 国 墙 模型 放 入 Bell- LaPadula 框架 吗 ? 

练习 9.4 中 国 墙 模型 中 的 * -property 应 当 只 指 当 前 的 读 访问 还 是 指 任 何 过 去 的 读 访问 ? 

练习 9.5 给 出 一 个 描述 Clark- Wilson 实施 规则 的 规范 模型 。 

练习 9.6 令 x 为 一 个 4 比特 变量 ,可 在 0 到 15 中 间 等 概率 地 取 值 。 给 定 条 件 “if x >7 then 
y: =1;” 和 初 值 “y =0”， 计 算 条 件 粹 (x)。 

练习 9.7 为 30 年 后 解密 的 文档 设计 一 个 安全 模型 。 

练习 9.8 在 一 个 控制 对 病历 和 处 方 访问 的 医疗 信息 系统 中 : 

e 医生 可 以 读 写 病历 和 处 方 。 

se。 护士 只 能 读 写 处 方 ， 但 是 不 应 当知 道 病历 的 内 容 。 

你 如 何在 格 模型 中 得 到 这 个 策略 ， 阻 止 信息 从 病历 流 到 处 方 ? 依 你 看 ， 哪 一 种 安全 模型 最 适 
合 这 种 策略 ? 





第 10 章 安全 评估 


安全 系统 的 用 户 需要 其 正在 使 用 的 产品 能 提供 足够 安全 性 的 某 种 保证 。 他 们 可 以 : 

(1) 依 靠 制造 商 / 服 务 提供 商 的 保证 。 

(2) 自行 测试 安全 系统 。 

(3) 或 者 依靠 独立 机 构 的 公正 评测 (评估 ) 。 

用 户 必 须 是 安全 领域 的 专家 ， 才 能 采用 第 2 种 方法 。 但 是 大 多 数 的 用 户 并 不 是 安全 领域 的 专 
家 ， 因 此 某 种 安全 评估 是 信任 一 种 安全 产品 的 唯一 选择 。 本 章 将 要 探究 安全 评估 和 讨论 目前 的 
评估 方案 是 否 可 以 收益 。 

目标 

© 了 解 所 有 评估 过 程 都 必须 解决 的 基本 问题 。 

。 提出 一 种 比较 评估 标准 的 方法 。 

。 给 出 主要 评估 标准 的 概况 。 

o 评价 一 些 已 评估 产品 和 系统 的 优点 。 


10.1 引言 


可 信 计 算 机 安全 评估 标准 (TCSEC， 橘 皮 书 ; 美国 国防 部 ，1985 ) 是 第 一 个 获得 广泛 认可 的 
安全 评估 标准 。 之 后 ， 人 们 又 开发 出 了 一 些 其 他 的 标准 ， 以 解决 橘 皮 书 已 知 的 不 足 。 早 先 萌发 的 
统一 各 种 不 同 标准 的 愿望 ， 最 终 导 致 了 今天 的 共同 标准 (CCIB ，2004a) 。 安 全 评估 标准 开发 过 程 
中 的 里 程 碑 有 : 

。 信息 技术 安全 评估 标准 (ITSEC; 欧洲 共同 体委 员 会 ，1991 ) 。 

© 加 拿 大 可 信 计 算 机 产品 评估 标准 (CTCPEC; 加 拿 大 系统 安全 中 心 ，1993)。 

e 联邦 标准 (美国 国家 技术 标准 局 和 国家 安全 部 ，1992 ) 。 

我 们 将 通过 提出 下 列 问题 来 构造 我 们 对 评估 标准 的 讨论 。 

1. 评估 对 象 

评估 标准 一 方面 涉及 产品 ， 即 已 出 售 的 部 件 ， 它 将 被 用 于 多 种 应 用 且 需 要 满足 一 般 的 安全 
要 求 ， 例 如 操作 系统 ; 另 一 方面 涉及 系统 ， 即 满足 给 定 应 用 特定 需求 的 各 种 产品 的 集合 体 。 在 第 
一 种 情况 下 ， 我 们 必须 找到 一 个 可 一 致 接受 的 一 般 需 求 集 。 橘 皮 书 的 安全 分 类 (security class) 以 
及 “联邦 和 共同 标准 ”的 保护 配置 文件 (protection profile) 都 是 为 了 达到 上 述 目的 。 在 第 二 种 情况 
下 ， 需 求 获取 和 分 析 已 经 成 了 每 个 独立 评估 的 一 部 分 。ITSEC 就 适合 对 系统 的 评估 。 

产品 和 系统 间 的 区 别 突出 了 安全 评估 基本 面 上 的 进退 两 难 的 局 面 : 用 户 不 是 安全 专家 但 又 
有 特定 的 安全 要 求 。 依 据 共 同 标准 对 已 出 售 产品 的 评估 抓 住 了 典型 的 需求 ， 对 非 专家 来 说 这 是 
个 非常 有 用 的 决策 标准 ， 但 是 产品 可 能 不 会 满足 实际 的 安全 需求 。 对 定制 系统 的 评估 可 解决 我 
们 感知 到 的 需求 ， 但 是 我 们 要 使 非 专家 用 户 确信 我 们 已 经 正确 获得 了 安全 需求 。 在 这 一 阶段 如 
果 能 提供 更 进一步 的 帮助 ， 我 们 才能 开始 跨 过 这 一 界线 ， 即 一 般 公 共 目 的 的 安全 评估 和 指导 特 
定 用 户 的 安全 顾问 的 任务 之 间 的 界线 。 

2. 评估 的 目标 

郴 皮 书 给 出 了 如 下 概念 之 间 的 区 别 : 
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o 34% (evaluation); 评定 一 个 产品 是 否 具 有 它 所 声明 的 安全 属性 。 

© 4£494 (certification) : 评定 一 个 (已 评估 的 ) 产 品 是 否 适 合 给 定 的 应 用 场合 。 

e 监 定 (accreditaftion) : 确定 一 个 (已 证 明 的 ) 产 品 是 否 可 以 在 给 定 场 合 里 应 用 。 

这 些 是 橘 皮 书 的 术语 。 当 然 其 他 的 评估 标准 会 使 用 不 同 的 术语 或 者 对 同样 的 术语 有 不 同 的 
用 法 。 对 各 种 具体 活动 的 命名 ， 不 及 它们 各 自 应 用 目标 上 的 基本 区 别 重 要 。 

3. 评估 的 方法 

评估 的 可 信和 性 与 评估 所 使 用 的 方法 密切 相关 。 下 面 这 两 种 情形 是 一 个 评估 方法 应 必须 避 
免 的 : 

(1) 已 评估 过 的 产品 后 来 被 发 现 含 有 严重 的 缺陷 。 

(2) 不 同 评估 方法 对 同一 产品 的 评价 产生 分 歧 。 因 此 ， 可 重复 性 (repeatability ) 和 可 再 现 性 
(reproducibility ) 常常 应 该 包含 在 评估 方法 必须 满足 的 要 求 之 中 。 

安全 评估 可 以 是 面向 产品 的 ， 也 可 以 是 面向 过 程 的 。 面 向 产品 (检测 ) 的 方法 用 来 检查 和 测 
试 产品 。 这 种 方法 比 面向 过 程 的 方法 能 告诉 我 们 更 多 关于 产品 的 信息 ， 但 是 不 同 的 评估 可 以 给 
出 不 同 的 结果 。 这 是 个 可 信和 性 问题 吗 ? 

面向 过 程 (审计 ) 的 方法 检查 文档 和 产品 开发 的 过 程 。 这 种 方法 代价 小 ， 而 且 容 易 达 到 可 重 
复 的 结果 ,但 是 结果 本 身 并 不 是 很 有 价值 。 欧 洲 信息 技术 安全 评估 手册 (European Information 
Technology Security Evaluation Manual; 欧洲 共同 体委 员 会 ) 第 1 版 就 是 一 个 可 重复 性 以 绝对 性 优 
势 压倒 内 容 的 一 个 典型 实例 。 这 也 是 个 可 信和 性 问题 吗 ? 

4, 评估 过 程 的 组 织 框架 

安全 评估 应 该 就 安全 产品 各 种 属性 得 出 独立 的 、 被 公众 认可 的 定论 。 一 个 独立 的 评估 机 构 
可 以 是 一 个 政府 部 门 (这 种 方式 最 早出 现 于 美国 ) ， 也 可 以 是 一 个 合适 的 被 公认 的 私有 企业 (如 在 
欧洲 ; 联合 王国 ITSEC 方案 ，1991 )。 在 这 两 种 方式 中 ,政府 支持 评估 过 程 并 且 颁 布 证 书 。 被 公 
认 的 评估 机 构 必须 自行 颁布 证 书 (如 德国 ) ， 我 们 可 以 想象 什么 情况 下 评估 专家 约定 俗 成 的 经 验 
证 据 可 以 代替 正式 的 鉴定 。 

如 果 所 有 的 评估 都 由 某 单一 政府 部 门 来 操作 的 话 ， 那 么 创建 一 个 更 具 结 构 化 的 管理 机 构 来 
确保 评估 的 一 致 性 将 几乎 不 必要 。 然 而 ， 随 着 时 间 的 推移 ， 依 然 存 在 着 解释 偏差 (interpretation 
drift) [ 标准 蠕 变 ( criteria creep) ] 的 危险 。 评 估 过 程 可 能 因为 评估 机 构 缺 乏 竞争 和 资源 有 限 而 变 得 
缓慢 。 当 有 经 验 的 评估 专家 因为 私人 机 构 的 更 高 薪水 而 跳槽 时 ， 也 就 存在 着 人 员 流 动 的 问题 。 政 
府 实体 可 能 要 收取 评估 费用 ， 不 过 在 美国 ， 进 行 评 估 是 免费 的 服务 。 

在 一 个 私营 评估 机构 环境 中 ， 发 证 机 构 必 须 在 不 同 机 构 中 实施 评估 的 一 致 性 (可 重复 性 、 可 
再 现 性 ) ， 也 可 以 像 欧 洲 那样 确认 评估 机 构 的 评估 结果 。 为 了 避免 不 同 的 解释 ， 标 准 的 精确 形式 
化 变 得 很 重要 。 评 佑 付费 化 和 经 济 压 力 会 导致 更 快速 的 评估 ， 评 估 对 发 起 人 的 资源 需求 也 会 变 
得 更 加 可 预期 。 另 一 方面 ， 人 们 必须 警惕 ， 避 免 经 济 压力 会 导致 不 正确 的 评估 结果 。 

更 多 的 组 织 机 构 方 开始 关注 评估 的 主办 者 、 产 品 制造 商 、 评 佑 机 构 间 的 合同 关系 。 还 有 ， 对 
于 开始 评估 、 发 放 评估 证 书 和 已 被 评估 过 的 产品 改进 后 的 再 评估 等 应 该 有 一 个 合适 的 过 程 。 

5. 评估 标准 的 结构 

安全 评估 的 目标 是 对 一 个 产品 /系统 是 否 安 全 给 出 保证 。 安 全 和 保证 与 如 下 方面 有 关系 : 

© 功能 性 (functionality): 系统 的 安全 特性 ， 例 如 自主 访问 控制 (DAC)、 强 制 访问 控制 

(MAC) 、 认 证 、 审 计 。 

o KR (effectiveness): 对 于 给 定 的 安全 需求 ， 所 用 评估 机 制 是 否 合适 ? 例如 : 用 户 是 否 经 足够 

强度 的 口令 认证 或 者 应 用 程序 是 否 需 要 一 个 加 密 的 挑战 - 回应 (challenge- response ) 协议 ? 
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© 保证 性 (assurance) : 评估 的 完全 性 。 

橘 皮 书 为 典型 的 美国 国防 部 需求 定义 了 评估 级 别 。 因 此， 在 评估 级 别 的 定义 中 要 同时 考虑 
上 述 三 个 方面 。ITSEC 定义 了 一 种 灵活 的 可 适应 新 安全 需求 的 评估 框架 。 因 此 ， 上 面 三 个 方面 可 
独立 解决 。 

6. 评估 的 花费 和 收益 

除了 支付 评估 费 外 ， 你 还 必须 考虑 间接 花费 ， 如 花费 在 产生 评估 所 需要 的 证 据 上 的 时 间 、 评 
估 员 的 培训 时 间 、 评 估 团 体 的 联系 时 间 。 当 考虑 评估 花费 时 ， 你 可 以 再 区 分 为 已 出 售 产品 和 专用 
系统 两 种 不 同 的 评估 。 在 第 一 种 情况 下 ， 评 估 的 主办 者 能 潜在 地 在 大 量 用 户 中 分 散 费 用 。 在 第 二 
种 情况 下 ,评估 主办 者 ， 或 者 单个 客户 不 得 不 自己 来 承受 所 有 的 费用 。 

评估 可 以 应 政府 制定 的 方针 的 要 求 进行 ,也 可 以 受 法 律 或 某 些 工业 标准 的 委托 进行 。 从 用 
户 的 体验 角度 看 ， 评 估 还 可 以 提高 产品 质量 。 


10.2 WEË 


安全 评估 指南 的 工作 在 美国 开始 于 1967 年 。 这 项 工作 产生 了 可 信任 计算 机 安全 评估 标准 ( 橘 
皮 书 ) ， 即 第 一 个 评估 安全 产品 (操作 系统 ) 的 指导 方针 。 虽 然 这 些 成 果 集中 在 “国家 安全 ”部 分 ， 
但 橘 皮 书 的 编写 者 却 是 想 创建 一 个 更 能 被 普遍 应 用 的 文档 ， 它 可 以 : 

。 为 用 户 提供 一 个 可 用 于 评定 计算 机 安全 系统 可 信 程 度 的 评判 标准 。 

。 为 计算 机 安全 系统 生产 商 提供 指导 。 

。 当 要 求 一 个 计算 机 安全 系统 时 作为 说 明 安全 需求 的 基础 。 

安全 评估 会 检查 系统 的 安全 关联 部 分 ， 即 可 信 计 算 基 ( TCB) (参见 5.1 节 ) 。 橘 皮 书 中 的 访 
问 控制 策略 很 接近 于 Bell- LaPadula 模型 (参见 8.2 节 ) ， 即 自主 访问 控制 和 强制 访问 控制 都 以 安 
全 标记 格 为 基础 。 引 用 监控 器 (reference monitor) 验证 了 主体 是 否 被 授权 访问 他 们 需求 的 对 象 。 

高 保证 性 总 是 与 正式 的 方法 、 简 单 的 TCB 以 及 结构 化 设计 方法 学 相 联系 。Bell- LaPadula 模 
型 对 一 个 满足 橘 皮 书 安全 策略 的 正规 模型 是 一 个 合适 的 参考 ,但 其 他 模型 也 可 以 用 到 TCSEC 评 
估 中 。 假 设 TCB 具有 更 高 的 简单 性 有 助 于 更 综合 的 分 析 。 因 此 ， 复 杂 系 统一 定 会 划 人 较 低 的 评 
估 类 别 中 。 

橘 皮 书 中 的 评估 类 是 设计 来 说 明 安全 需求 的 典型 模式 的 。 因 此 ， 具 体 的 安全 特点 需求 和 保 
证 需求 都 是 结合 在 这 些 评估 类 的 定义 中 的 。 一 个 评估 类 描述 的 主题 有 : 

(1) 安全 策略 : 用 主体 和 对 象 来 说 明 的 强制 的 和 自主 的 访问 控制 策略 。 

(2) 标记 对 象 ， 标签 用 于 说 明 对 象 的 安全 敏感 度 。 

(3) 主体 识别 ; 单个 主体 必须 能 被 识别 和 认证 。 

(4) 问 责 性 :必须 保留 与 安全 相关 的 审计 日 志 。 

(5) 保 证 :主要 涉及 安全 体系 结构 的 操作 保证 ;诸如 设计 方法 、 测 试 和 配置 管理 的 生命 周期 保证 。 

(6) 文 档 : 安全 系统 的 系统 管理 员 和 用 户 需要 的 安装 以 及 使 用 安全 产品 的 指南 ; 评估 者 需要 
测试 和 设计 文档 。 

(7) 持续 的 保护 : 安全 机 制 不 可 破坏 。 

橘 皮 书 用 这 些 标准 来 定义 四 个 安全 划分 和 七 个 安全 级 别 。 通 过 更 严格 的 分 析 ， 较 高 安全 级 
别 的 产品 提供 更 安全 的 机 制 和 较 高 保证 性 。 这 四 个 安全 划分 是 : 

。D 一 最 小 保护 

。C 一 自主 保护 (“和 需要 知道 ”) 

。B 一 强制 保护 (基于 “标签 ”) 
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eA 一 可 验证 的 保护 

橘 皮 书 的 安全 级 别 定义 是 递增 的 。 一 个 级 别 的 所 有 需求 自动 地 包括 在 更 高 级 别 的 需求 中 。 
橘 皮 书 是 国家 安全 机 构 执 行 的 独立 于 应 用 的 安全 评估 的 基础 。 

1. D 一 最 小 保护 

这 个 级 别 ， 是 适用 于 那些 需要 评估 但 达 不 到 桶 皮 书 最 低级 别 要 求 的 产品 。 

2. C1 一 自主 安全 保护 

Cl 级 别 的 系统 是 协作 用 户 在 同一 完整 性 级 别处 理 数据 的 环境 。 建 立 在 单个 用 户 和 /或 组 基础 
上 的 自主 访问 控制 (DAC) ， 使 用 户 可 在 一 定 控制 级 别 上 共享 对 对 象 访问 。 但 用 户 必 须 证 明 自 己 
的 身份 而 且 该 身份 必须 被 系统 认可 。 

对 于 操作 的 保证 而 言 ，TCB 有 自己 的 执行 环境 ， 而 且 必 须 有 周期 性 验证 TCB 操作 是 否 正确 
的 特点 。 生 命 期 的 保证 仅 指 对 “明显 缺陷 ?进行 安全 性 测试 。 用 户 指南 ( 橘 皮 书 文档 的 一 章 ) 、 可 
信 操 作 手 册 ( 适 用 于 系统 管理 员 ) 、 测 试 文档 、 设 计 文档 等 都 要 提供 。 总 之 ，C1l 系统 适合 应 用 于 
友好 环境 ， 并 不 刻意 提供 强 安全 性 。 

3. C2 一 受 控 的 访问 保护 

C2 系统 使 用 户 对 各 自 的 行为 负责 。DAC 加 强 了 对 单个 用 户 的 控制 粒度 。 现 在 还 必须 控制 访 
问 权 限 的 传播 。 如 果 由 TCR 管理 的 对 象 含 有 以 前 的 主体 产生 的 信息 (对 象 重 用 )， 则 主体 不 能 访 
问 该 对 象 。 正 如 C2 级 别 中 明确 定义 的 : 必须 保留 安全 相关 事件 的 审计 踪迹 。 

测试 和 文档 必须 包含 最 新 增加 的 安全 特性 ， 但 保证 仍然 是 适度 的 。 测 试 仍然 是 为 了 寻找 明 
显 的 漏洞 。 

一 般 说 来 ， 虽 然 C2 系统 有 许多 固有 的 弱点 ， 但 C2 仍 被 认为 对 商业 应 用 是 最 合理 的 安全 级 
别 ( 欧 洲 计算 机 制造 联合 会 ，1993)。 大 多 数 厂商 都 提供 经 C2 评估 过 的 操作 系统 或 数据 库 管理 系 
统 的 版 本 。 有 有 时， 厂商 也 提供 专门 的 应 用 程序 ， 以 帮助 在 C2 兼容 的 配置 条 件 下 安装 他 们 的 系统 
(Park, 1995) , 

4, B1 一 标记 的 安全 保护 

B 级 别 用 于 处 理 保密 数据 和 实施 强制 的 Bel- LaPadula 策略 。 每 个 主体 和 对 象 都 依据 层次 分 类 
级 别 和 非 层次 类 别 ( 参 见 4.7.3 节 ) 设 置 标签 。 标 签 的 完整 性 必须 得 到 保护 。 识 别 和 认证 用 于 确 
定 主体 的 安全 标签 。 

一 旦 保护 建立 在 基于 标签 之 上 ， 就 必须 考虑 当 被 标记 过 的 对 象 输出 到 其 他 系统 或 打印 机 时 
会 发 生 什么 情况 。 解 决 方法 应 该 依据 输出 通道 的 特性 而 定 。 通 信和 了 O 信道 可 以 是 单 级 别 ， 也 可 
以 是 多 级 别 。 在 多 级 别 上 的 信和 道上， 对象 和 标签 一 起 输出 。 在 单 级 别 信道 上 ，TCB 和 授权 用 户 
一 起 指定 输出 信息 的 敏感 级 别 。 可 被 阅读 的 输出 也 必须 加 标签 ， 比 如 ， 在 敏感 文档 的 每 一 页 打印 
上 密级 。 

为 达到 更 高 的 保证 性 ， 要 求 一 个 非 正规 或 正规 的 安全 策略 模型 。 测 试 和 文档 必须 做 得 更 加 
彻底 ， 设 计 文 档 、 源 代码 和 目标 代码 必须 进行 分 析 ， 所 有 必须 移 除 测 试 当 中 揭示 的 所 有 的 缺陷 。 

然而 ，B1 级 别 对 于 TCB 结构 并 不 十 分 苛求 。 因 此 ， 像 多 级 别 安全 的 Unix 系统 或 数据 库 管 
理 系 统 等 复杂 软件 系统 已 接受 了 Bl 验证 。B1 级 别 更 倾向 于 面 对 高 度 隔离 环境 的 系统 。 

如 下 产品 被 鉴定 为 Bl 级别: System V/MLS( i} 8 AT&T) 和 许多 来 自 像 Hewlett- Packard. 
DEC 和 Unisys 等 销售 商 的 其 他 操作 系统 ， 议 及 像 Trusted Oracle 7, INFORMIX- Online/Secure , 
Secure SQL( 出 自 Sybase) 等 数据 库 管 理 系统 。 

5. B2 一 结构 化 保护 

B2 级 别 主要 通过 在 系统 设计 时 增加 安全 需求 来 提高 安全 保证 性 。 强 制 性 访问 控制 (MAC) 也 
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包含 对 物理 设备 使 用 的 控制 。 一 旦 用 户 的 安全 等 级 发 生变 化 则 必须 通知 他 们 。 对 于 登录 和 初始 
认证 必须 有 可 信 路 径 。 

安全 策略 的 正规 模型 和 系统 的 描述 的 顶级 规范 (Descriptive Top Level Specification, DTLS ) 都 
是 必需 的 。 模 块 化 是 系统 体系 结构 的 重要 设计 特点 。TCB 必须 提供 不 同 的 地 址 空间 来 隔离 不 同 
的 进程 。 硬 件 支持 ( 比如 分 段 ) 可 支持 内 存 管理 。 必 须 实 现 隐藏 信道 分 析 (covert channel analy- 
sis) ， 并 且 必 须 记 录 那 些 可 能 会 创建 一 个 隐藏 信道 的 事件 。 安 全 测试 应 该 证 实 : TCB 可 在 一 定 程 
度 上 抵抗 穿 透 。 来 自 可 信和 信息 系统 的 可 信 XENIX 操作 系统 被 鉴定 为 B2 级 。 

6. B3 一 安全 域 

B3 系统 可 以 高 强度 抵抗 穿 透 (highly resistant to penetration), B3 级 别 中 的 许多 新 成 分 都 要 与 
安全 管理 有 关 ， 也 必须 支持 安全 管理 员 操 作 。 审 计 机 制 监视 着 正在 发 生 的 或 累积 的 与 安全 相关 
的 事件 ， 并 对 可 疑 情 形 自 动 发 布 警告 信息 。 必 须 建立 系统 失败 后 可 信 恢 复 机 制 (trusted 
recovery) 。 最 小 化 TCB 的 复杂 性 和 排除 与 安全 无 关 的 模块 是 大 多 数 系统 工程 的 任务 。 令 人 信服 
的 观点 必须 在 安全 策略 的 正式 模型 和 非 正式 的 详细 实验 说 明 书 (DTLS ) 之 间 达 成 一 致 。 

出 自 Wang Government Services 的 XTS-300( 和 XTS-200) 多 种 版 本 被 鉴定 为 B3 级 。XTS-300 
是 一 款 运 行 在 其 x86 硬件 基础 上 的 多 级 别 安全 操作 系统 (STOP) 。 

7. Al 一 可 验证 的 设计 

Al 级 别 功能 相当 于 B3 级 ， 它 通过 正规 方法 的 使 用 达到 了 最 高 的 保证 性 。 策 略 和 系统 的 正 
式 规 范 和 一 致 性 证 明 都 在 很 高 程度 保证 性 上 显示 了 TCB 是 正确 实现 了 的 。Al 级 别 的 要 求 如 下 : 

e 安全 策略 的 正规 模型 。 

e 系统 要 具有 正规 顶级 规范 (Formal Top Level Specification ，FILS) ， 包 括 TCB 的 抽象 定义 。 

o 模型 和 FILS 之 间 的 一 致 性 证 明 ( 正 式 的 ， 若 有 可 能 的 话 ) o 

。TCB 的 实现 非 正 式 地 证 明了 和 FTLS 的 一 致 性 。 

e 隐蔽 信道 的 正式 分 析 ( 定 时 通道 的 非 正式 分 析 ) ; 隐藏 信道 的 持续 存在 必须 经 过 认定 ， 且 

必须 限制 带宽 。 

另外 ， 更 严格 的 配置 管理 和 分 布控 制 (站 点 安全 确认 测试 ) 要 保证 装 在 客户 站 点 上 的 版 本 和 
(评估 过 的 ) 主 版 本 一 样 。 

典型 的 Al 级 别 的 产品 是 网 络 组 件 ， 比 如 MLS LAN( 来 自 Boeing) 和 Gemini 可 信和 网 络 处 理 
器 。SCOMP 操作 系统 也 被 评估 为 Al 级 别 。 编 写 橘 皮 书 标准 时 ， 曾 考虑 定义 比 Al 级 别 更 高 的 安 
全 级 别 ， 这 些 级 别 主要 是 在 系统 体系 结构 、 测 试 、 形 式 描 述 和 验证 ， 以 及 可 信 设 计 环 境 等 方面 增 
加 更 多 的 需求 。 如 果 评 估 复 杂 软 件 产品 的 难度 降低 了 安全 保证 级 别 ， 那 么 就 没有 必要 进一步 在 
这 个 方向 开展 工作 。 


10.3 R5 


橘 皮 书 是 NSA 和 NCSCS 出 版 的 安全 需求 、 安 全 管理 和 安全 评估 方面 文档 集 的 一 部 分 。 该 系 
列 中 每 一 个 文档 均 以 其 封面 的 颜色 而 为 人 们 熟知 。 由 于 该 系列 有 很 多 ， 因 此 被 合 在 一 起 称 为 虹 
系列 。 橘 皮 书 中 介绍 的 概念 和 术语 对 应 于 《可 信 数 据 管理 系 统 解释 》(Trusted Database Management 
System Interpretation; Lavender/ 兹 皮 书 ; NCSC，1991) 和 《可 信和 网 络 解释 》( Trusted Network Inter- 
pretation; 红皮书 ; NCSC，1987) 书 中 的 特定 方面 。 这 些 标准 最 初 是 为 评估 处 理 政府 (军事 ) 应 用 
中 的 分 级 数据 系统 而 开发 的 。 





O ”美国 安全 部 和 美国 国家 计算 机 安全 中 心 。 
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10.4 信息 技术 安全 评估 标准 


协调 的 欧洲 信息 技术 安全 评估 标准 (欧洲 通信 委员 会 ，1992 ) 是 由 和 荷兰、 英国、 法 国 和 德国 
在 定义 国家 安全 评估 标准 时 的 结果 。 第 一 个 草案 公布 于 1990 年 ， 信 息 技术 安全 评估 标准 
(IITSEC) 正 式 作为 推荐 版 本 被 欧盟 委员 会 批准 的 日 期 是 1995 年 4 月 7 号 。 作 为 欧式 文档 ，ITSEC 
有 多 种 语言 版 本 ， 这 增加 了 统一 解释 标准 的 难度 。 

ITSEC 从 橘 皮 书 各 种 版 本 的 经 验 教训 中 学 到 了 东西 ， 取 得 了 必然 的 进步 。 橘 皮 书 被 认为 太 严 
格 太 僵化 了 ，ITSEC 致力 于 提供 一 个 安全 评估 的 框架 ， 以 便 新 的 安全 需要 提出 后 可 以 很 容易 地 加 
和信。 在 ITSEC 中 ， 功 能 性 和 保证 性 之 间 的 联系 被 打破 了 。 应 用 于 安全 产品 的 标准 也 被 用 于 安全 
系统 。 评 估 对 象 (Target of Evaluation, TOE) 一 词 引 入 到 ITSEC 中 。 

评估 的 发 起 人 决定 了 操作 性 需求 和 可 能 的 威胁 。TOE 的 安全 目标 (security objective ) 进一步 
取决 于 法 律 和 其 他 规则 ， 这 些 形成 了 所 需 的 安全 功能 和 评估 级 别 。 安 全 对 象 (security target) 定义 
了 评估 相关 的 TOE 的 所 有 方面 。 它 描述 了 评估 对 象 的 安全 功能 ， 也 可 能 是 面 对 的 威胁 、 对 象 和 
所 用 安全 机 制 的 细节 。TOE 的 安全 功能 可 以 独立 地 定义 ， 也 可 引用 预定 义 的 功能 类 (fanctionality 
class) 定义 。 

EO 到 E6 七 个 评估 级 别 表示 了 安全 功能 执行 的 正确 性 的 保证 级 别 。E0 代表 不 充分 的 保证 。 
对 于 每 一 个 评估 级 别 ， 该 标准 都 列举 了 发 起 人 提交 给 评估 者 的 条 目 。 评 估 者 要 保证 这 些 条 目 已 
被 提供 ， 并 注意 内 容 和 表述 的 任何 需求 都 已 得 到 满足 ; 保证 条 目 被 清楚 地 提供 ， 或 支持 所 要 求 的 
证 据 的 产生 结果 。 建 议 发 起 人 /开发 者 与 评估 者 之 间 紧 密 合作 。 

通过 区 分 功能 性 和 保证 性 需求 ， 以 及 考虑 整体 安全 系统 的 评估 ， 欧 洲 安全 评估 标准 能 解决 
红皮书 、 可 信 数 据 库 解释 中 不 能 解决 的 问题 。 由 ITSEC 提供 的 灵活 性 有 时 是 优点 ， 有 时 却 是 缺 
点 。 记 住 在 2. 4. 3 节 强 调 的 安全 评估 基本 方面 的 进退 两 难 的 局 面 : 不 是 安全 专家 ， 用 户 如 何 判定 
一 个 给 定 的 安全 对 象 对 他 们 是 否 是 正确 的 ? 


10.5 联邦 标准 


评估 标准 链 上 的 下 一 环节 是 美国 的 联邦 标准 (美国 国家 技术 标准 局 和 国家 安全 部 ，1992 ) 。 
他 们 采用 了 下 一 个 必然 的 步骤 ， 在 评估 级 别 的 定义 上 提供 了 更 多 的 指导 ,但 仍然 保留 一 定 的 灵 
活性 。 联 邦 标准 坚持 对 产品 的 评估 ， 坚 持 评估 级 别 的 定义 中 的 功能 性 和 保证 性 之 间 的 联系 ， 并 独 
立 于 产品 的 保护 配置 文件 来 尽力 克服 橘 皮 书 中 严格 的 僵化 结构 。 保 护 配置 文件 包括 下 面 五 部 分 : 
© 描述 的 元 素 (descriptive element): 保护 配置 文件 的 “名 字 ”， 包 括 要 解决 的 信息 保护 问题 
的 描述 。 
e 基 本 原理 (rationale) : 保护 配置 文件 的 基本 判断 ， 包 括 威胁 、 环 境 、 使 用 假设 ， 要 解决 的 
信息 保护 问题 更 详细 的 描述 ， 和 遵从 该 保护 配置 文件 的 产品 支持 的 安全 策略 指南 。 
© 功能 需求 (functional requirement): 建立 产品 提供 的 保护 界线 ， 这 样 在 边界 内 可 以 统计 预 
期 的 威胁 。 . 
o 开发 保证 需求 (development assurance requirement): 从 初始 设计 到 实现 的 所 有 阶段 ,包括 
开发 过 程 、 开 发 环境 、 操 作 支 持 、 开 发 根据 。 
o 评估 保证 需求 (evaluation assurance requirement): 说 明 评 估 的 类 型 和 深度 。 


10.6 共同 标准 
安全 评估 在 商业 上 的 运用 很 吸引 人 ， 评估 证 书 应 该 被 广泛 地 接受 。 在 这 个 方向 上 ， 第 一 步 是 
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就 评估 标准 的 共同 集合 达成 一 致 。 因 此 ， 负 责 国 家 安全 的 各 种 评估 组 织 走 到 一 起 ， 形 成 了 共同 标 
准 编写 委员 会 (CCEB ) ， 产 生 了 共同 标准 (CCIB ，1004a) ， 作 为 联合 现 有 的 和 将 继续 出 现 的 评估 
标准 的 一 种 努力 ， 这 些 现 有 标准 有 TCSEC、ITSEC、CTCPEC 和 联邦 标准 。1999 年 ， 共 同 标准 
(CC) 还 成 为 国际 标准 ISO 15048。CCEB 也 被 CC 执行 委员 会 (CCIB ) 接 替 。 

共同 标准 融合 了 各 种 以 前 的 标准 的 思想 。( 这 种 融合 的 令 人 遗憾 的 一 面 是 ， 读 者 必须 面 对 大 
量 的 文档 ) 。CC 是 为 适用 于 产品 和 系统 的 安全 评估 而 并 发 ， 通 用 的 术语 评估 对 象 (TOE) 再 次 被 
使 用 。CC 放弃 了 ITSEC 采用 的 对 功能 类 和 保证 级 别 的 严格 分 离 ， 在 使 用 保护 配置 文件 和 预定 义 
安全 级 别 上 追随 了 联邦 标准 。 安 全 对 象 (ST) 表 示 了 一 个 特定 TOE 的 安全 需求 ， 如 通过 一 个 保护 
配置 文件 的 引用 。ST 是 任何 安全 评估 的 基本 要 素 。 评 估 保 证 级 别 定 义 了 在 一 个 评估 当中 什么 是 
必须 做 的 。 


10.6.1 保护 配置 文件 


为 了 指导 用 户 ,保护 框架 ( PP) 中 集中 了 安全 目标 、 原 理 、 威 胁 、 威 胁 环 境 和 应 用 节点 等 信 
息 。 一 个 PP 是 一 个 适合 特定 用 户 需 要 的 安全 需求 的 (可 重用 ) 的 集合 。 图 10-1 给 出 了 PP 的 结 
构 。 用 户 团体 应 该 开发 自己 的 PP 来 捕获 自己 的 典型 安全 需求 。 一 些 类 似 橘 皮 书 中 的 PP 被 提供 来 作 
为 示例 ， 但 任何 人 都 可 以 写 属于 自己 的 PP， 并 且 有 一 个 现成 的 用 来 添加 和 诊断 新 PP 的 过 程 。 你 可 
以 找到 用 于 以 下 的 PP: 单 级 别 和 多 级 别 操作 系统 、 数 据 库 管 理 系统 、 防 火 墙 、 可 信 平 台 模型 、 邮 
政 计算 器 、 自 动 现金 售 货 机 、 电 子 棒 、 安 全 签名 设备 和 智能 卡 安全 的 数 个 方面 。 


共同 标准 保护 配置 文件 
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图 10-1 共同 标准 保护 配置 文件 











10.6.2 评估 保证 级 别 (EAL ) 


EAL 定义 了 一 个 TOE 的 开发 者 和 安全 评估 者 的 责任 。 有 七 个 递增 定义 的 EAL。 

EAL1 一 功能 已 测试 ”测试 者 收 到 TOE， 检 查 文档 并 进行 一 些 测 试 来 确认 文档 化 的 功能 。 评 
估 不 必要 求 来 自 开发 者 的 任何 协助 ， 评 估 的 费用 是 最 少 的 。 

EAL2 一 结构 已 测试 ”开发 者 提供 测试 文档 和 来 自 漏洞 分 析 的 测试 结果 。 评 估 者 复查 这 些 文 
档 并 重复 其 中 一 些 测试 。 所 需 的 来 自 开发 者 的 努力 较 小 ， 不 需要 有 效 的 完整 开发 记录 。 
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EAL3 一 方法 已 测试 和 验证 ”开发 者 使 用 配置 管理 器 、 文 档 安 全 管理 器 来 开发 ， 并 提供 高 水 
平 的 设计 文档 和 复查 用 测试 覆盖 文档 。 这 个 级 别 可 用 于 已 遵从 好 的 开发 实践 并 且 不 想 对 其 实践 
执行 深层 改变 的 开发 者 。 

EAI4 一 方法 已 设计 、 测 试 和 复查 ”开发 者 为 评估 者 提供 低层 次 的 设计 和 一 个 安全 功能 
(TCB ) 源 代 码 子 集 。 还 必须 有 一 个 安全 的 分 发 过 程 。 评 俩 者 进行 一 个 独立 的 脆弱 性 分 析 。 通 常 
EALA 是 对 已 存 的 产品 线 经 济 可 行 的 最 高 级 别 。 

EAL5 一 半 正 式 地 已 设计 和 测试 ”开发 者 提供 一 个 正式 的 安全 策略 模型 、 一 个 半 正 式 的 高 层 
次 设计 和 功能 规范 及 安全 功能 的 完整 源 代 码 。 必 须 进 行 一 个 隐藏 信道 分 析 。 评 估 者 执行 独立 的 
渗透 测试 。 对 于 这 个 级 别 的 评估 来 说 ， 如 果 TOE 按 达 到 EALS 保证 的 目的 设计 和 开发 将 确实 有 
显著 帮助 。 超 出 开发 过 程 本 身 成 本 的 附加 评估 费用 不 会 很 高 。 

EAL6 一 半 正 式 可 验证 设计 和 测试 ” 源 代 码 必 须 很 好 的 结构 化 ， 访 问 控 制 ( 引 用 监视 器 ) 必须 
具有 较 低 的 复杂 性 。 评 估 者 必须 进行 更 强 的 渗透 测试 ， 评 估 费 用 应 该 可 预见 地 增长 。 

EAL7 一 正式 可 验证 设计 和 测试 ”开发 者 提供 正式 的 功能 规范 和 高 层次 的 设计 。 开 发 者 必须 
展示 或 证 明 所 有 安全 功能 实现 间 的 通信 。 对 于 正式 分 析 而 言 ， 安 全 功能 必须 足够 简单 。 这 个 级 别 
典型 地 仅 实现 于 这 样 的 TOE: 该 TOE 具有 紧密 聚集 的 安全 功能 并 遵从 广泛 的 正式 分 析 。 


10.6.3 评估 方法 


共同 评估 方法 (CEM) 定 义 了 验证 ST 中 保证 性 需求 时 必须 遵从 的 所 有 步骤 (CCIB ，2004b) 。 
共同 标准 互 认 协定 (CCRA ) 提供 了 对 在 其 他 国家 中 进行 的 评估 的 认可 。CEM 可 用 于 保证 级 别 
EAL! 到 EAL4 ， 只 有 这 些 保证 级 别 被 相互 承认 ， 更 高 的 级 别 只 在 个 别 的 国家 被 接受 。 在 美国 ， 
共同 标准 评估 和 认证 方案 (CCEVS ) 是 根据 CC 进行 安全 评估 的 国家 程序 。 已 有 认证 机 构 批准 承 
担 安全 测试 的 实验 室 ， 提 供 技术 指导 和 验证 安全 评估 结果 。 


10.7 质量 标准 


以 审计 为 基础 的 评估 的 最 终 一 步 ， 是 在 没有 关于 产品 的 任何 参考 的 情况 下 评定 产品 是 怎么 
开发 的 。 这 样 的 公司 会 成 为 “安全 系统 的 认证 制造 商 ” 。 事 实证 明 ， 这 种 方式 在 质量 控制 领域 相 
当 流 行 。 诸 如 ISO 9000 的 标准 会 建议 一 个 公司 怎样 摆 正 内 部 质量 管理 和 外 部 质量 保证 的 位 置 来 
保证 公司 产品 的 质量 。 一 些 厂 家 声称 ， 对 特定 产品 通过 了 ISO 9000 质量 认证 取得 的 销售 比 一 般 
只 有 安全 证 书 的 特定 产品 要 强 多 了 ， 安 全 评估 也 要 走向 这 条 道路 。 

这 样 的 提议 对 公司 开发 安全 系统 的 吸引 力 显而易见 。 评 估 的 开销 很 大 程度 上 减少 了 。 如 采 
安全 系统 的 开发 者 的 这 个 提议 上 成 功 了 ， 安 全 系统 的 用 户 还 会 遭遇 安全 问题 吗 ? 这 是 个 不 可 预 
测 的 结论 。 毕 竟 ， 一 份 证 书 并 不 能 保证 系统 不 可 能 被 攻破 。 因 此 ， 不 得 不 根据 每 一 种 评 佑 机 制 自 
身 的 优点 ， 来 决定 已 单独 评估 过 的 产品 是 否 能 比 授权 开发 者 的 产品 提供 更 多 的 安全 保证 。 


10.8 成 果 是 否 得 到 充分 利用 


在 有 些 国家 ， 公 共 部 门 的 客户 会 要 求 根据 CC 进行 安全 评估 。 主 要 的 操作 系统 和 数据 库 管 理 
系统 供应 商 提供 已 经 过 评估 的 产品 。 然 而 ， 除 政府 部 门 外 ， 人 们 对 经 评估 产品 的 热情 并 不 高 。 此 
外 ， 也 有 例外 ， 在 某 些 市 场 中 CC 被 大 多 数 供应 商 追捧 。 在 本 书写 作 时 ， 智 能 卡 方面 就 是 一 个 例 
子 。 早 在 十 年 前 ， 即 可 指出 PC 安全 软件 的 供应 商 。 

安全 评估 被 批评 为 一 种 由 政府 驱使 的 代价 昂贵 的 过 程 。 上 面 的 观点 参见 欧洲 计算 机 制造 坎 
联合 会 (ECMA ，1993 ) 公布 的 报告 。 这 个 报告 意识 到 了 橘 皮 书 C2 级 别 在 建立 操作 系统 安全 基线 
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中 扮演 的 角色 ， 但 坚持 要 求 成 本 、 生 产 率 和 安全 的 三 者 平衡 ， 其 中 的 任何 两 项 都 会 严重 影响 第 三 
Mi, ECMA 警告 不 要 把 IT 安全 仅 看 成 技术 问题 ， 并 注意 到 了 当前 投资 的 一 种 失衡 ， 即 把 过 多 努 
力 放 在 安全 评估 上 ， 却 忽略 了 安全 系统 有 效 管理 的 重要 性 。 该 报告 建议 研究 质量 标准 ， 如 ISO 
9000 ， 是 作为 安全 评估 的 另 一 选择 。 

在 他 们 对 当前 评估 过 程 的 批评 中 ,评估 成 本 ( 占 开 发 成 本 的 10% ~ 40% ) 和 到 评估 完成 的 时 
间 当 然 是 人 们 关心 的 方面 。 被 提 到 的 更 多 问题 还 有 : 

© 标准 的 解释 和 标准 的 推广 上 的 不 明确 性 ， 即 对 标准 过 时 的 解释 的 变化 。 

e 对 已 评估 产品 新 版 本 的 重新 评估 成 本 。 

。 评估 过 程 的 保密 性 。 

最 后 ， 你 必须 注意 到 证 书 只 适用 于 产品 的 特定 版 本 和 特定 配置 。 在 一 个 实际 安装 中 ， 使 用 的 
很 可 能 是 不 同 的 配置 ， 也 可 能 是 不 同 的 版 本 。 因 此 严格 上 说 ， 证 书 并 不 能 提供 直接 的 安全 保证 。 
因此 ， 曾 有 过 一 些 开 发 评估 方法 学 的 尝试 。 这 些 方法 使 得 以 节俭 的 成 本 和 较 少 的 工作 量 再 评估 
先前 评估 过 的 产品 成 为 可 能 。 虹 系列 中 的 RAMP 方案 就 是 一 个 这 样 的 例子 。 
10.9 深层 阅读 

MacKenzie and Pottinger( 1997 ) 讲述 了 安全 评估 和 正规 安全 模型 化 的 早期 历史 。Chokhani 
(1992) 概括 了 橘 皮 书 级 别 总 体 的 安全 评估 的 实际 应 用 方面 。Scpnaefer(2004 ) 的 著作 叙述 了 促使 橘 
皮 书 以 及 其 他 文献 诞生 的 IT 发 展 。 经 Al 级 别 评 估 的 BLACKER 系统 的 简短 描述 可 在 Weissman 
(1992) 的 著作 中 找到 。 为 达到 Al 需求 开发 的 但 没有 成 为 商业 产品 的 原型 在 Karger er al. (1990) 
的 著作 中 述 及 。 作 为 一 个 安全 保证 和 多 级 别 安全 系统 的 隐蔽 信道 方面 的 例子 可 以 参见 Kang, 
Moore and Moskowitz( 1998) 的 著作 。 

CTCPEC 被 誉 为 最 简洁 和 最 具 可 读 性 的 评估 标准 。 包 含 评估 标准 、 辅 助 文档 和 已 评估 产品 列 
表 的 Web 站 点 有 : 

© 虹 系 列 网 址 为 http://www. radium. ncsc. mil/tpep/library/rainbow , 

© CC 网 址 为 http://www. csrc. nist. gov/cc 和 http://www. commoncriteriaportal. org/ o 


10.10 练习 


练习 10. 1 安全 评估 要 处 理 移 动 对 象 的 问题 。 当 某 产品 的 一 个 版 本 被 评估 时 该 产品 的 开发 
仍然 不 能 停止 。 怎 样 才能 保证 评估 证 书 不 过 时 呢 ? 可 参考 RAMP 方案 。 

练习 10.2 安全 产品 必须 紧 随 正在 变化 的 对 象 。 在 一 个 正在 使 用 中 的 产品 的 生命 期 内 ， 外 
界 的 威胁 环境 可 能 会 改变 。 怎 样 设计 一 个 方案 来 使 防 病毒 产品 的 评估 能 在 威胁 变化 的 环境 中 保 
证 它们 的 证 书 继续 更 新 ? 在 你 的 方案 中 有 了 哪些 组 件 应 该 包括 在 对 操作 系统 的 评估 中 ? 

练习 10.3 有 时 人 们 会 这 样 评价 ,评估 的 产品 主要 用 作 在 被 指控 没有 遵照 已 设 的 最 好 机 制 时 的 
保护 措施 ， 而 不 是 为 了 能 提供 更 好 的 安全 性 。 从 提供 附加 值 的 安全 评估 方案 中 ， 你 希望 得 到 什么 ? 

练习 10. 4 评估 标准 用 来 帮助 对 安全 无 知 的 用 户 满 足 特 定 的 安全 需求 。 保 护 框架 是 不 是 能 
正确 解决 这 个 问题 ? 

练习 10.5 ITSEC 覆盖 了 安全 评估 。 咨 询 顾问 针对 安全 问题 为 客户 推荐 解决 方案 。 从 何 处 
可 以 分 清 顾问 的 工作 和 评估 工作 ? 评估 是 否 优 于 请 雇用 顾问 ? 

练习 10.6 为 防火 墙 写 一 个 PP( 保 护 配置 文件 ) 。 

练习 10.7 ”考查 封锁 和 监控 隐 项 信道 的 两 种 选择 。 被 封锁 的 隐蔽 信道 影响 的 系统 的 可 用 性 
如 何 ? 





第 11 章 B B 学 


从 前 ， 早 在 20 世纪 80 年 代 ， 在 研究 多 级 化 安全 的 潮流 中 ， 你 可 能 昕 说 过 密码 学 (cryptogra- 
phy) 对 计算 机 安全 没有 作出 什么 贡献 。 计 算 机 安全 就 主要 与 TCB (可 信 计 算 基 ) 、 引 用 监控 器 、 
自主 和 强制 访问 控制 ， 安 全 模型 和 系统 规范 的 正规 验证 。 按 照 这 种 观点 ， 密 码 所 起 的 作用 实际 上 
是 外 围 的 。 在 安全 操作 系统 当中 ， 存 储 口令 的 单 向 函数 仅仅 是 密码 机 制 的 一 个 明显 的 实例 。 

直到 20 世纪 90 年 代 中 期 ， 却 走向 了 另 一 个 极端 ， 密 码 被 看 成 了 可 解决 所 有 计算 机 安全 问题 
的 神奇 对 策 。 安 全 操作 系统 由 于 太 昂 贵 ， 使 用 太 受 限制 、 太 远离 用 户 的 要 求 ， 最 终 像 丽 龙 绝迹 一 
样 消失 在 人 们 的 视线 中 。 在 功能 强大 的 密码 算法 中 ， 输 出 限制 被 视 为 需要 克服 的 障碍 ， 并 以 此 来 
保障 计算 机 安全 。 又 一 个 十 年 后 ， 人 们 对 密码 学 的 贡献 作出 了 一 个 更 明确 的 断定 ， 即 ， 密 码 学 能 
够 为 计算 机 提供 安全 。 密 码 学 技术 仍然 是 安全 分 布 系统 的 一 个 必要 的 组 成 部 分 。 

目标 

。 了 解 在 不 同 目的 下 密码 学 的 不 同 应 用 。 

。 介绍 密码 学 的 基本 概念 。 

。 理解 密码 能 够 解决 问题 的 类 型 ， 以 及 在 使 用 密码 时 需要 解决 的 问题 的 类 型 。 

。 指 出 支持 密码 学 所 必需 的 计算 机 安全 特征 。 


11.1 515 


在 传统 定义 中 ， 密 码 学 (cryptography) 是 书写 秘密 内 容 的 学 科 ， 密 码 分 析 学 ( cryptanalysis) 是 
分 析 和 破解 加 密 器 (cipher) 的 学 科 ， 这 两 个 主题 就 形成 了 密码 学 。 它 们 曾经 是 间谍 和 秘密 部 门 的 
领域 ， 由 于 这 些 原因 ， 现 在 密码 仍然 笼罩 着 一 层 神秘 的 面纱 。 

现代 密码 学 完全 是 一 门 数学 学 科 。 对 于 很 好 地 理解 密码 学 出 色 的 观点 所 必需 的 数学 背景 的 
阐述 已 经 超出 了 本 书 的 范围 。 我 们 将 尽力 解释 怎样 把 密码 学 用 于 计算 机 安全 ， 并 且 指 出 计算 机 
安全 常常 是 加 密 能 起 作用 的 一 个 先决 条 件 。 


11.1.1 HË 


SR SE: RESET AUER PTEE 


和 B 通 过 一 个 不 安全 的 信道 通信 。 对 手 是 一 个 入 侵 者 ， 它 9 | 2 | 
完全 控制 了 这 个 信道 ， 能 够 读 它们 的 信息 、 se 四 | 





人 信息 等 。 两 个 实体 4 和 8 是 彼此 信任 的 。 它 们 想 保护 通 KBE 
信 不 受信 侵 者 的 破坏 。 密 码 使 得 它们 在 不 安全 的 物理 连接 
上 建立 了 一 条 安全 的 逻辑 信道 。 在 这 方面 ， 密 码 与 到 目前 图 11-1 通信 安全 


为 止 讨论 的 计算 机 安全 机 制 是 有 本 质 区 别 的 。 对 于 来 自 底层 的 危害 ， 它 们 全 部 都 是 脆弱 的 。 然 
而 ， 对 物理 通信 链 路 的 访问 却 不 能 威胁 密码 的 保护 。 

在 分 布 式 系统 中 ,客户 端 和 服务 器 之 间 的 通信 流 对 所 谓 的 人 侵 者 来 说 是 一 个 新 的 攻击 点 。 
不 安全 通信 链 路 引入 的 漏洞 自然 能 够 由 通信 安全 服务 和 机 制 来 解决 。 这 些 服务 包括 以 下 方面 。 

。 数据 机 密 性 : 加 密 算法 隐藏 了 消息 的 内 容 。 
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。 数据 完整 性 ; 完整 性 检测 功能 提供 了 检测 文档 是 否 被 改变 的 方法 。 

o 数据 源 认 证 ; 消息 认证 码 或 者 数字 签名 算法 提供 了 验证 消息 来 源 和 它 的 完整 性 的 方法 。 

数据 源 认证 包括 数据 完整 性 。 你 不 能 声称 已 经 验证 了 在 传输 过 程 中 已 经 被 更 改 了 的 消息 的 
来 源 。 男 一 方面 ， 如 果 消 息 中 包含 了 发 送 者 的 地 址 ， 当 你 在 验证 消息 的 完整 性 的 同时 ， 也 就 验证 
了 消息 的 来 源 。 在 这 种 情况 下 ， 数 据 完整 性 和 数据 源 认 证 是 等 同 的 概念 。 数 据 完整 性 的 概念 在 其 
他 应 用 中 更 有 意义 ， 比 如 ， 反 病毒 软件 的 文件 保护 。 

谁 是 朋友 ， 谁 是 敌人 这 种 传统 的 观点 也 在 计算 机 安全 中 有 了 它 自 己 的 位 置 ， 但 它 不 再 是 驱 
动 计算 中 密码 应 用 的 主要 理由 。 遗 憾 的 是 ， 它 仍然 支配 着 公众 对 密码 的 理解 。 同 样 的 观点 也 反映 
在 用 于 密码 协议 的 许多 验证 工具 上 ， 它 们 假设 实体 4 和 B 的 行为 与 协议 规则 完全 一 致 ， 并 且 只 
考虑 人 侵 者 行为 的 影响 。 


11.1.2 新 的 范例 


让 我 们 关注 新 鲜 的 事务 。 在 电子 商务 中 ， 顾 客 进 入 了 一 个 与 商家 有 关 的 商业 事务 。 两 个 参与 
者 都 不 希望 另 一 方 租 骗 ， 但 是 ， 纠 纷 却 有 可 能 发 生 ， 并 且 预 先 有 一 致 的 规则 总 比 在 发 生 纠纷 时 再 
采取 特定 的 方式 解决 要 好 些 。 因 而 客户 和 商家 都 有 理由 运行 一 
个 协议 ,这 个 协议 认为 对 方 不 是 在 任何 情况 下 都 是 可 靠 的 。 现 | 消费 者 
在 的 对 手 是 一 个 误 操作 的 内 部 人 员 (insider) ， 而 不 是 一 个 人 侵 
者 ， 图 11-2 所 示 的 第 三 个 参与 者 不 再 是 一 个 人 侵 者 ， 而 是 一 Cm) 
个 可 信任 的 第 三 方 (TIP) ， 例 如 ， 一 个 仲裁 者 。 在 解决 纠纷 图 11-2 电子 商务 安全 
时 ， 仲 裁 将 要 考虑 不 可 否认 服务 (nonrepudiation service) 生 成 的 
证 据 。 

许多 国家 都 有 法 律 ， 规 定 法 律 执行 代理 (law enforcement 
agency，LEA) 在 什么 时 候 ， 怎 样 获得 俩 听 许可 证 ， 以 便 责成 LA | 了 e| 
电信 服务 提供 者 给 他 们 接 入 到 特定 用 户 之 间 的 通信 的 权利 。 
现在 ， 在 图 11-3 中 的 第 三 方 是 一 个 电信 操作 员 的 客户 ， 必 须 
给 他 提供 一 个 合法 的 货 听 服务 。 在 这 种 上 下 文中 ， 密 铀 托管 图 11-3 通信 安全 和 法 律 实施 
(key escrow) 服务 分 发 用 于 加 密 通 信 的 密 钥 ; 密 钥 托管 服务 也 是 目前 令 人 激动 的 研讨 课题 。 


11.1.3 $ 


密码 员 特 别 吝 爱 采 用 锁 作 为 他 们 的 图 标 ， 以 表示 他 们 给 公众 提供 安全 服务 。 快 速 查看 目前 
的 具有 安全 性 能 (security- enabled) 的 Web 浏览 器 或 者 E- mail 产品 的 用 户 接口 就 能 够 证 实 这 种 观 
察 。 类 推 充满 了 危险 ， 你 不 应 该 过 分 地 信任 它们 ， 但 是 也 有 一 些 重要 地 概念 从 锁 匠 传承 到 了 密码 
员 。 锁 上 门 或 者 打开 门 上 的 锁 ， 你 需要 一 把 钥匙 。 从 强度 上 分 ， 锁 是 不 同 的 。 有 些 锁 很 容易 被 援 
开 ， 而 另 一 些 锁 是 如 此 坚固 ， 以 致 入 侵 者 不 得 不 采用 暴力 攻击 破门 而 入 ， 或 者 选择 一 条 完全 不 同 
的 路 径 ， 改 为 从 房间 的 窗户 进入 房间 。 

密码 算法 使 用 密 钥 来 保护 数据 。 从 现实 方法 的 强度 和 范围 来 看 又 有 各 种 变种 ， 其 中 的 一 些 
使 用 简单 的 统计 方法 就 可 以 破解 ， 而 另外 一 些 远 远 超出 了 目前 的 数学 分 析 和 计算 能 力 所 能 够 达 
到 的 范围 。 蛮 力 攻击 穷尽 一 切 可 能 地 搜索 整个 密 钥 空间 ， 它 给 出 了 算法 强度 的 上 限 。 

现代 密码 学 并 不 依赖 于 算法 的 保密 。 在 密码 变换 中 使 用 的 密 钥 才 是 唯一 需要 保护 的 内 容 。 
在 19 世纪 Kerckhoffs 提出 这 个 原则 ， 在 我 们 的 新 安全 范 型 中 非常 适用 ， 在 这 里 必须 支持 大 量具 
有 竞争 利益 的 用 户 团 体 。 在 这 种 环境 下 ， 形 成 事实 上 的 标准 和 对 公开 算法 的 开放 评估 都 是 很 自 
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然 的 过 程 ， 这 会 使 得 每 一 个 参与 者 都 有 机 会 进行 他 们 自己 的 安全 评估 ， 并 且 会 使 得 新 的 参与 者 
更 容易 加 入 。 
因而 ， 从 最 一 般 的 字面 意义 上 理解 ， 密 钥 管理 (key management) 对 密码 机 制 的 安全 极为 重 
你 必须 处 理 下 面 这 些 问题 : 
。 密 钥 在 哪儿 生成 ? 
© 密 钥 怎 样 生 成 ? 
© 密 钥 在 哪儿 存储 ? 
e 密 钥 怎 样 分 发 ? 
。 密 钥 实 际 上 在 什么 地 方 使 用 ? 
© 密 钥 怎 样 撤销 和 替换 ? 
到 此 ， 完 成 了 一 个 循环 ， 我 们 又 回 到 计算 机 安全 。 密 码 密 钥 是 存储 在 计算 机 系统 中 的 敏感 数 
据 ， 计 算 机 系统 中 的 访问 控制 机 制 必须 保护 这 些 密 钥 。 当 访问 控制 失败 时 ， 密 码 保护 面临 着 危 
险 。 在 大 多 数目 前 实施 的 安全 系统 中 ， 密 码 算法 是 最 强 的 部 分 ， 且 老 谋 深 算 的 攻击 者 将 寻找 其 他 
的 软肋 ， 而 不 是 把 他 们 的 时 间 浪 费 在 密码 分 析 上 。 

经 验 教训 

密码 几乎 从 来 都 不 是 安全 问题 的 解决 方案 。 密 码 是 一 个 转换 机 制 ， 它 通常 把 通信 安全 问题 
转化 为 密 钥 管理 问题 ， 而 最 终 转化 成 了 计算 机 安全 问题 。 希 望 最 后 的 问题 比 原来 的 问题 更 容易 
解决 。 总 之 ， 密 码 能 够 加 强 计算 机 安全 ,但 它 并 不 是 计算 机 安全 的 替代 品 。 


11.1.4 密码 机 制 


密码 机 制 是 密码 方案 的 最 基本 的 构造 模块 。 它 们 被 用 在 密码 协议 中 ， 且 取决 于 好 的 密 钥 管 
理 来 提供 有 效 的 保护 。 最 频繁 应 用 于 计算 安全 的 密码 机 制 是 : 

。 加 密 算法 。 

© 数字 签名 方案 。 

。 完整 性 检查 函数 (密码 哈 希 函数 ， 即 hash 函数 ) 。 

为 了 打破 密码 的 传统 ,我 们 将 以 相反 的 顺序 来 介绍 这 些 概念 。 首 先 ， 我 们 将 解释 一 些 关 于 模 
运算 的 基本 知识 ， 以 作为 后 面 描述 内 容 的 基础 。 


11.2 iz 


相当 多 的 现代 密码 算法 都 建立 在 代数 学 原理 的 基础 上 。 这 些 算 法 可 以 定义 在 先进 的 代数 结 
构 上 ， 比 如 椭圆 曲线 或 者 伽 罗 瓦 域 (有 限 域 ) 。 然 而 ， 我 们 仍然 有 点 停留 在 实际 应 用 上 ， 且 在 它 
们 描述 中 仅 使 用 整数 。 

令 区 是 一 个 整数 。 在 后 面 的 描述 中 ， 我 们 将 m 称 为 模 数 (modulu)。 然 后 在 整数 集合 上 定义 
了 一 个 等 价 关系 “ 二”: 

a=b mod m, 4B{i4a-b=Axm, KH, A 可 取 某 些 整 数值 。 

我 们 则 说 “a 和 5 模 m 同 余 ”。 可 以 检验 “=” 确实 是 一 个 等 价 关系 ， 它 把 整数 集合 划分 成 m 
等 价 类 : 


要 


Q 


(a), ={b| a=b mod m}, O<a<m 
我 们 更 习惯 用 a mod m 的 形式 来 表示 等 价 类 ， 我 们 将 遵循 这 个 约定 。 你 可 以 证 明 下 列 有 用 的 
性 质 : 


è (a mod m) + (b mod m) =(a+b) mod m 
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e (a mod m) x (b mod m) =(axb)mod m 
e 对 于 每 一 个 ea 关 0 mod p,，p 是 素数 ， 存 在 一 个 整数 a ,使 得 a xa '=1 mod p, 
对 于 一 个 模 素 数 p， 以 了 p 为 模 的 乘法 阶 定义 为 : 


令 忆 是 一 个 素数 ，a 是 一 个 任意 整数 。a 模 p 的 夹 法 定义 为 满足 下 面 关系 的 最 小 整数 


n: a" =1 mod p, 
费 尔 马 小 定理 表明 ， 任 何 一 个 以 p 为 模 的 非 零 元 素 的 乘法 阶 必定 是 p -1 的 因子 。 
定理 ”对 于 每 一 个 a 才 0 mdp, pREKR, Ha"'=1 mod p。 


这 个 事实 被 用 于 构造 相当 多 的 密码 算法 。 这 些 算法 的 安全 性 常常 是 相关 的 ， 在 少数 场合 是 
SOW, 来自 数 论 中 的 下 述 间 题 中 的 任何 一 个 都 是 难 解 的 : 

o 离散 对 数 问题 (Discrete Logarithm Problem, DLP): 给 定 一 个 作为 模 的 素数 p， 基 数 a 和 值 

y, MBSR y=a mod p, 求 出 y 的 离散 对 数 ， 即 整数 x。 
。n 次 方 根 的 问题 : AERA m, n 和 a， 求 出 一 个 整数 b， 使 它 满足 b=a” mod m。 解 5 就 
叫做 a 的 n 次 方 根 模 m。 

e 因 式 分 解 问题 :给 定 一 个 整数 nx， 找 出 它 的 素数 因子 。 

在 参数 的 正确 选择 情况 下 ， 这 些 问 题 是 许多 密码 算法 的 合适 的 基础 。 然 而 ， 并 不 是 这 些 问题 
的 所 有 实例 都 是 难 解 的 。 很 明显 ， 如 果 p 或 者 n 是 比较 小 的 整数 ， 那 么 这 些 问题 就 可 以 在 合理 的 
时 间 范 围 内 采用 穷 举 搜索 来 求解 。 目 前 ， 二 进 制 512 位 的 整数 已 被 认为 是 位 数 较 短 的 整数 了 ， 一 
般 都 推荐 使 用 1024 位 整数 ， 当 然 ， 如 果 你 能 够 容忍 由 于 算术 运算 占用 更 长 的 时 间 而 引起 性 能 的 
下 降 ， 还 可 以 使 用 更 长 的 整数 。 长 度 不 是 你 必须 考虑 的 唯一 方面 。 这 些 问题 的 难度 也 取决 于 p 和 
n 的 结构 (为 了 进一步 追究 这 个 课题 ， 你 必须 参照 一 些 更 专业 化 的 数学 方面 的 书籍 ) 。 


11.3 完整 性 检查 功能 


一 个 密码 哈 希 销 数 h， 将 输入 的 任意 比特 长 度 的 x 映射 到 固定 比特 长 度 n 的 以 x) 输 出 。 这 就 
是 众所周知 的 压缩 性 。 哈 希 函数 比 提 到 的 其 他 加 密 机 制 更 快 ， 消 耗资 源 更 少 ; 计算 方便 的 性 质 需 
要 给 定 x， 这 样 很 容易 计算 b(x) 。 

我 们 将 讲解 如 何 保护 程序 x 不 被 自 改 来 说 明 如 何 利用 完整 性 检查 功能 。 这 个 策略 运用 在 一 些 
反 病 毒 产品 里 。 在 一 个 没有 病毒 的 环境 下 计算 哈 希 值 h(x)， 并且 把 结果 存储 在 不 能 修改 它 的 位 
置 ， 例 如 ， 存 放 在 CD-ROM 上 。 为 了 检查 程序 的 状态 ， 重 新 计算 哈 希 值 ， 把 它 与 原来 存储 的 值 
进行 比较 。 哈 希 值 的 保护 很 重要 。 计 算 哈 希 值 并 不 要 求 任何 秘密 的 信息 ， 因 此 ， 任 何人 都 能 对 一 
个 给 定 的 文件 计算 有 效 的 哈 希 值 。 


11.3.1 冲突 和 生日 悖 论 


在 我 们 的 例子 里 ， 重 要 的 是 不 会 找到 冲突 。 如 果 有 两 个 输入 x，x'"， 且 x 关 x'， 使 得 h(x) = 
h(x') 成 立 ， 我 们 就 会 有 一 个 冲突 。 在 这 种 情况 下 ， 攻 击 者 以 喻 希 值 不 变 的 方式 修改 程序 ， 而 对 
程序 的 改变 不 会 被 发 觉 。 

通过 暴力 搜索 找到 一 个 冲突 的 概率 取决 于 险 希 值 的 比特 长 度 。 如 果 定 义 一 个 n 比特 喻 希 数 
y， 则 发 现在 x 和 h(x) =y 之 前 的 预期 数 是 2 。 然 而 ， 如 果 仅 仅 是 寻找 任意 冲突 ， 那 么 大 约 是 
2”? 组 的 输入 很 有 可 能 有 一 组 容易 造成 冲突 。 这 个 结果 是 基于 生日 悖 论 (birthday paradox) 的 。 把 
m 个 球 从 1 到 mm 编号 ， 放 进 盒子 里 ， 取 出 一 个 球 ， 列 出 它 的 编号 并 将 它 放 回 。 重 复 这 个 实验 。 若 


m->% ， 则 在 先前 得 出 的 数字 之 前 预期 数字 趋 近 于 \/ -3 me 
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11.3.2 操作 检测 码 


操作 检测 码 (Manipulation Detection Code，MDC) ， 也 称 为 修改 检测 码 或 者 消息 完整 码 ， 常 
常用 于 检查 文档 是 否 发 生 改变 。 不 同 的 给 定 应 用 ， 在 MDC 上 的 要 求 也 就 不 同 。 安 全 特性 中 来 自 
一 个 哈 希 函数 hh 的 一 个 可 能 需求 包括 以 下 几 种 特性 。 
© 预 映射 抗拒 性 (preimage resistance)( 单 向 性 ) : 给 定 a 一 个 值 y»， 为 了 找到 满足 h(x) =y 的 
x， 通 常 这 在 计算 上 是 不 可 行 的 。 

o 第 2 次 预 映 射 抗 拒 性 (second preimage resistance) ( 弱 冲 突 抗 拒 性 ) : 给 定 输入 x 和 h(x)， 
求 出 另外 一 个 x， 且 x 了 关 x'"， 使 得 h(x) h(x')， 这 在 计算 上 是 不 可 行 的 。 

e 冲突 抗拒 性 (collision resistance)( 强 冲突 抗拒 性 ) : 找到 任何 两 个 输入 x 和 和 x， 使 得 h(x) = 
h(x') 成 立 ， 这 在 计算 上 是 不 可 行 的 。 

MDC 有 两 种 形式 ( Menezes, van Oorschot and Vanstone，1997)。 

晶 单 向 哈 希 函数 (one- way hash function,，OWHF) 具 有 压缩 性 、 易 计算 性 、 预 映射 抗拒 性 和 
第 2 次 预 映射 抗拒 性 等 性 质 。 

o 冲突 抗拒 哈 希 函数 (collision- resistant hash function，CRHF) 具 有 压缩 性 、 易 计算 性 、 第 2 
次 预 映 射 抗拒 性 和 冲突 抗拒 性 等 性 质 。 

应 用 哈 希 函数 计算 的 结果 分 别 不 同 地 称 为 : 

e 哈 希 值 (hash value)。 

© 消息 摘要 (message digest) 。 

© 校 验 和 (checksum ) 。 

最 后 一 个 术语 最 容易 引起 混淆 。 在 通信 安全 中 ， 校 验 和 是 指 错误 校正 码 ， 典 型 的 是 循环 元 余 
校 验 码 (CRC) 。CRC 是 一 个 线性 函数 ， 所 以 容易 产生 冲突 。 另 一 方面 ， 校 验 和 也 被 用 在 反 病 毒 
软件 的 产品 中 ， 但 是 禁止 使 用 CRC 来 计算 ， 而 必须 使 用 密码 哈 希 函数 (MDC) 来 计算 。 

当 明 智 地 选择 参数 p 和 8 HY, RA): =g mod p 是 一 个 单 向 函数 ， 这 个 隔 数 称 为 离散 求 
Æ (discrete exponentiation) 。 为 了 反 向 离散 求 宕 ， 你 必须 解决 在 11.2 节 介 绍 地 DLP( 离散 对 数 问 
题 ) 。 在 这 一 章 的 后 面 可 以 看 到 离散 求 寡 在 密码 方案 的 构造 中 是 真正 有 用 的 原 函 数 。 然 而 ， 离 散 
求 宕 并 不 是 特别 快 的 操作 ， 当 需要 高 速 处 理 大量 的 数据 时 ， 必 须 转 而 采用 其 他 的 算法 。 

快速 哈 希 函数 倾向 使 用 类 似 的 设计 模式 来 构造 。 哈 希 函 数 的 核心 是 一 个 压缩 函数 户 它 可 处 
理 国 定 长 度 的 输入 。 一 个 任意 长 度 的 输入 x 被 分 割 成 给 定 块 大 小 的 块 + ，…，x。， 如 果 最 后 一 个 
块 没有 达到 固定 长 度 ， 就 使 用 填充 的 方法 使 它 达到 固定 的 长 度 。x 的 哈 希 值 则 可 以 通过 反复 的 使 
用 压缩 函数 获得 。 令 h 是 一 个 (固定 的 ) 初 始 化 值 。 计 算 

hh =f(x; 上 hh 1)， 其 中 i=1, =, m 

Ah, 作为 x 的 哈 希 值 ， 如 图 11-4 所 示 ( 符 号 || ROKR). 





图 11-4 哈 希 函 数 构造 
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11.3.3 消息 认证 码 


消息 认证 码 (Message Authentication Codes，MAC ) 为 消息 的 来 源 和 完整 性 提供 了 保证 (数据 
源 认证 )。MAC 从 两 个 输入 ( 即 消 息 和 秘密 ) 的 密码 密 钥 计算 得 到 。 因 此 ，MAC 有 时 也 称 为 密 钥 
hash 函数 。 正 式 地 说 ，MAC 是 用 密 钥 大 作为 参数 化 的 hash RA h, 的 族 。 这 个 族 中 的 每 一 个 成 员 
都 具有 压缩 和 容易 计算 的 特性 ， 附 加 的 抗 计算 性 也 必须 满足 。 


对 于 任何 固定 的 上 值 而 言 ， 给 定 一 个 组 值 (x,，h(x,))， 当 攻击 者 不 知道 这 个 固定 的 
值 时 ， 对 任何 新 的 输入 x， 在 计算 上 来 说 ， 要 计算 出 h(x) 都 是 不 可 行 的 。 


为 了 认证 一 个 消息 ， 接 收 者 必须 与 发 送 者 共享 用 于 计算 MAC 的 密码 密 钥 ， 用 来 计算 MAC, 
不 知道 密 钥 的 第 三 方 不 可 能 确认 MAC。 使 用 下 面 的 HMAC 构造 方法 (Bellare，Canetti and 
Krawczyk, 1996; Krawczyk, Bellare and Canetti，1997)， 可 以 从 MDC 算法 h 推导 出 MAC 算法 。 
为 给 定 的 密 钥 上 和 消息 *， 计 算 
HMAC(x) =h(k || p, || ACK |] pa Il x)) 
其 中 p, 和 p, RIFE, CE kY RAE A FE IBEW EMEC 


11.3.4 安全 哈 希 算法 


我 们 将 选择 安全 哈 希 算法 (SHA-1) 来 说 明 哈 希 函 数 实 际 上 ?是 怎样 设计 的 。 这 个 算法 被 指定 
用 于 美国 的 数字 签名 标准 ( Digital Signature Standard，DSS) 。 其 他 的 哈 希 函数 是 MD4( 不 具备 强 
抗 冲突 性 ， 参 见 Dobbertion，1996) ，MD5( Internet 协议 中 的 标准 选择 ， 非 强 抗 冲突 性 ) 和 RIPE- 
MD, SHA-1 可 处 理 任 意 多 个 512 比特 的 数据 块 ， 生 成 一 个 160 比特 的 哈 希 值 。 参 数 可 以 被 作为 
整数 解释 也 可 以 作为 位 串 解 释 。 我 们 在 说 明 中 省 略 掉 了 位 串 和 整数 之 间 的 转换 算法 。 
输入 的 末尾 将 用 一 个 1 来 填充 ， 然 后 是 一 个 0 串 ， 以 使 得 最 后 的 输入 块 长 度 为 448， 且 最 后 64 
比特 字段 指示 在 填充 前 输入 数据 的 长 度 。 初 始 化 的 值 由 五 个 32 比特 的 值 定义 ， 以 十 六 进 制 数 表 示 。 
A = 67452301 
B = efcdab89 
C = 98badcfe 
D = 10325476 
E = c3d2e1 f0 
SHA-1 的 压缩 函数 在 一 个 80 步 的 循环 中 处 理 512 比特 的 输入 ， 每 20 步 改变 一 次 内 部 函数 和 
常数 ， 最 后 生成 一 个 160 比特 的 输出 。 这 些 函数 是 : 
f(X, Y, Z)=(XAY)V((AX)AZ) 其 中 1=0, …, 19 
f(X, Y, Z =X@Y@Z 其 中 t=20,…，39 
f(X, Y, Z = (XAY)V(XAZ)V (YAZ) 其 中 t=40, …, 59 
f(X, Y, Z)=X@Y@Z 其 中 t=60,…, 79 
操作 符 是 位 与 、 位 或 和 异 或 ， 并 被 应 用 到 32 位 字 上 。 常 数 采用 十 六 进 制 数 表示 ， 它 们 是 : 
K,=5a827999 其 中 t=0, =, 19 





© 在 写作 本 书 时 (2005 年 2 月 )， 已 经 报道 了 SHA-1 上 的 冲突 攻击 。 这 类 攻击 限制 了 SHA-1 被 应 用 于 其 上 的 应 用 
程序 ， 并 且 极 容易 产生 一 个 新 的 哈 希 算法 标准 。 

© 在 Eurocrypt 2005 M. Daum 和 S. Lucks 的 著作 的 结尾 部 分 介绍 了 对 创建 postscrip 对 的 通用 攻击 ， 该 postscrip 对 具 
有 相同 的 MD5 哈 希 值 。 
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K,=6ed9ebal 其 中 1=20，…，39 
K,=8flbbcdc 其 中 4=40，…，59 
K, =ca62c1d6 其 中 1=60，…，79. 


在 压缩 函数 开始 的 时 候 ， 五 个 32 AREE a, b, c, dA e 是 用 哈 希 函数 的 中 间 值 来 初始 化 
的 。 对 于 第 一 个 输入 块 ， 则 使 用 初始 值 4，B，C, DAE, 512 比特 的 输入 块 被 分 成 了 16 个 32 比 
特 的 字 m,， 并 且 使 用 下 面 的 算法 ， 将 它们 扩展 成 80 个 32 比特 的 字 w: 
w,=m， 其 中 t=0, =, 15 
w, = (WwW 中 mw aW ws) < < <1 1=16, =, 79 
其 中 ,符号 < < <s 表示 循环 左 移 s 位 。 现 在 的 压缩 函数 执行 下 面 的 循环 ， 其 中 加 法 使 用 模 
22 运算 : 
for t=0 to 79 do 
begin 
temp =(a< < <5) +f,(b, c, d) + e+w,+K,: 
e=d; 
c=b< < <30; 
b=a; 
a = temp; 
end; 
RE, Ba, b, c, dMe 的 值 被 加 入 到 前 面 的 中 间 哈 希 值 中 。 在 处 理 下 一 个 输入 块 的 时 
候 ， 这 个 结果 用 作 初 始 的 哈 希 值 。 


11.4 数字 签名 


在 图 11-1 中 ， 消 息 认 证 码 可 帮助 参与 者 4 和 B 检测 在 通信 信道 中 由 入 侵 者 插入 的 欺骗 消息 。 
然而 ， 消 息 认证 码 并 不 生成 任何 证 据 ， 供 第 三 方 用 来 判断 A 或 者 B 是 否 发 送 了 特定 的 消息 。 因 
此 ,在 图 11-2 的 电子 商务 中 ， 顾 客 需 要 确保 商家 不 能 伪造 订单 ， 旦 商家 需要 确保 顾客 必须 认可 
他 们 所 下 的 订单 ， 在 这 样 的 情况 下 ， 消 息 认证 码 几 乎 是 没有 什么 用 处 的 ， 因 而 数字 签名 ( digital 
signature) 就 很 有 必要 了 。 

数字 签名 方案 由 密 钥 生成 算法 、 签 名 算法 和 验证 算法 组 成 。 文 档 的 数字 签名 是 一 个 值 ， 它 取 
决 于 文档 内 容 ， 并 且 仅 有 签名 者 知道 的 某 个 秘密 ， 即 私有 签名 密 钥 。 私 有 签名 密 钥 把 文档 与 一 个 
实体 联系 在 一 起 ， 即 公共 验证 密 钥 。 验 证 算法 通常 使 用 文档 或 公共 验证 密 钥 作为 输入 ， 但 是 在 一 
些 异 常 的 情况 下 ， 文 档 或 者 文档 的 一 部 分 可 以 从 签名 中 恢复 出 来 ， 且 对 于 签名 验证 不 一 定 要 提 
供 文档 。 图 11-5 给 出 了 一 个 典型 数字 签名 的 示意 图 ， 在 该 图 中 私人 签名 审 铀 应 用 于 哈 希 文档 。. 
下 述 的 可 验证 性 表示 了 数字 签名 方案 的 特征 : 





文件 文件 文件 





图 11-5 通用 数字 签名 方案 示意 图 
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第 三 方 可 以 在 不 知道 签名 者 的 私 钥 的 情况 下 ， 解 决 关 于 数字 签名 有 效 性 的 纠纷 。 

数字 签名 支持 不 可 否认 性 。 公 钥 加 蜜 (参见 11. 5 节 ) 是 数字 签名 方案 的 自然 来 源 。 在 这 种 方 
案 中 ， 私 有 签名 密 铀 和 公共 验证 密 钥 之 间 的 联系 具有 不 可 从 验证 密 钥 中 推导 出 签名 密 钥 的 特性 。 
不 管 基础 数学 技巧 上 是 否 有 相似 性 ， 都 应 该 推断 出 数字 签名 和 公 钥 加 密 算 法 之 间 清 楚 的 区 别 。 
这 两 种 方案 从 根本 上 满足 了 不 同 的 技术 目的 。 加 密 保 护 了 消息 的 机 密 性 ， 因 此 必须 是 可 逆 的 。 数 
字 签 名 提供 了 数据 来 源 的 认证 和 不 可 和 否认 性 。 数 字 签 名 算法 不 必 是 可 逆 的 。 事 实 上 ， 可 逆 性 会 引 
起 一 些 额 外 的 安全 担忧 。 


11.4.1 一 次 性 签名 


你 不 需要 为 构造 一 个 签名 方案 而 销 研 数学 。 为 了 获得 一 次 性 签名 ， 你 仅仅 需要 一 个 密码 哈 
PRZ h 就 可 以 了 (Lamport，1979)。 为 了 对 一 份 n 位 的 文档 签名 ， 随 机 选择 2n MEM x, A x,, 
作为 你 的 私 钥 ， 且 公布 值 ( 约 束 )y,o=hCxo) 和 y=h(xii)，1 志 i<n， 作 为 你 的 公 钥 。 对 文档 m 
的 签名 s 的 第 i 部 分 位 则 由 下 式 给 出 : 

Xo 其 中 ，m =0 
S, -| , _ 
x, 其 中 , m=1 

很 明显 ， 不 能 再 次 使 用 你 的 私 钥 ， 因 此 ， 这 就 是 一 次 性 签名 的 由 来 。 验 证 者 拥有 公 钥 ， 并 进 

ITRE: 
pone 其 中 ,m=0 
Ya =h) 其 中 m,=1 7 

你 将 发 现 ， 验 证 者 需要 附加 的 证 据 来 进一步 证 实 值 mx 和 :确实 是 公 钥 。 我 们 将 在 12.5.1 
节 回 到 这 个 主题 。 

此 外 ， 除 了 依赖 数学 问题 的 难 解 性 或 者 依赖 其 他 的 一 些 密码 原 语 的 强度 ， 还 可 以 依赖 抗 损 
害 硬件 设备 的 难度 。 这 个 设备 包括 一 个 秘密 的 签字 密 钥 和 /或 秘密 的 验证 密 钥 。 这 个 设备 的 构造 
可 以 保证 它 不 能 使 用 签名 密 钥 来 验证 或 者 不 能 使 用 验证 密 钥 来 签名 。 为 了 签署 一 份 文档 ,设备 
可 用 它 的 签名 密 钥 来 构造 MAC， 然 后 把 它 附 加 到 文档 上 。 为 了 验证 这 个 签名 ， 验 证 者 的 设备 必 
须 拥 有 签字 者 的 签名 密 钥 作为 验证 密 钥 ， 并 使 用 这 个 密 钥 来 生成 MAC， 把 它 同 接收 到 的 签名 进 
行 比较 。 

11.4.2 ElGamal 签名 和 DSA 


ElGamal 签名 方案 (1985 ) 用 实例 说 明了 签名 不 是 用 私 钥 加 密 的 。 设 p 是 一 个 大 的 、 适 当选 择 
HRM, Ke 是 一 个 以 p 为 模 的 p -1 阶 整 数 。 设 a 是 用 户 4 的 私有 签名 密 钥 ,和 且 y, =g mod p 
是 对 应 的 公共 验证 密 钥 。 
假设 要 签名 的 文档 是 一 个 整数 m, 0 万 m <p。 如 果 不 是 的 话 ， 你 也 可 以 应 用 一 个 合适 的 哈 希 
函数 ， 然 后 对 文档 的 摘要 进行 签名 。 为 了 对 m 进行 签名 ， 用 户 4 选择 了 一 个 随机 数 k,，0<k<p， 
以 使 得 gcd(k, p -1) =1, 计算 r=g* modp， 并 且 解 方程 : 
a'ri+k:s=mmodp-l 

求解 未 知 的 s。 整 数 对 (r+，s) 对 构成 4 对 m 的 签名 。 验 证 者 需要 4 的 验证 密 钥 y， 并 检查 : 

y e r Ej g” mod p 是 否 相 等 

对 于 一 个 正确 的 签名 ， 等 式 : l 
y+ r =g"*® =g" mod p 

成 立 。 这 种 方案 的 安全 与 离散 对 数 问题 紧密 相关 ， 但 是 并 不 等 价 于 离散 对 数 问题 。 许 多 更 安全 和 
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更 有 效 的 签名 方案 都 是 从 ElGamal 签名 方案 派生 出 来 的 。 一 个 这 样 的 签名 算法 是 数字 签名 算法 
(DSA; 美国 商务 部 ， 美 国标 准 与 技术 协会 ，2000)。 在 这 个 方案 中 ， 用 户 4 的 私 钥 和 公 钥 通过 
下 述 步 又 生成 。 

(1) 选 择 一 个 素数 gq, 满足 2”<g<2"。 

(2) 选 择 一 个 整数 1:，(0<t<8) 和 一 个 素数 p(2”*“ <p <2”*%)， 使 得 g 能 整除 p -1。 

(3) 选 择 a，(1 <a<p -1)， 并 计算 g =a ^ mod p。 如 果 8 =1， 带 和 一 个 新 的 a 再 进行 
试 算 。( 这 一 步 计算 以 p 为 模 的 4 阶 的 生成 元 go) 

(4) 选 择 一 个 a， 使 其 满足 1<a<g -1。 

(5) 计 算 y=8 mod p, 

(6)4 的 私 钥 为 数值 <， 公 钥 为 (P，9，8，7y) 。 

4 为 了 对 文档 m 进行 签名 ,使 用 SHA-1 计算 哈 希 值 h(m) ， 并 且 转 换 成 一 个 整数 ， 然 后 : 

(1) 随 机 地 选择 一 个 整数 k,，1 <k<g -1; 

(2) 计 算 r=(g8* mod p)mod q; 

(3)H# k` mod q; 

(4) s =k '(h(m) +a r)mod q- 

A 对 m 的 签名 就 是 整数 对 (r，s) 。 这 个 签名 将 用 4 的 公 钥 (p，9，g，y) 通 过 以 下 步骤 进行 
检测 : 

(1) iE 1 <r<q Al<s<q; 

(2) 计 算 w=s mod q; 

(3) 计 算 w=w:h(m) mod q Alu, =r- w mod q; 

(4) i+# v = (g"y" mod p) mod q, 

当 且 仅 当 v =r WR. $ E th A A SS a A y (elliptic curve digital signature algorithm, 
ECDSA) 5 DSA 相 类 似 ， 但 是 它 是 同 椭圆 曲线 一 起 参与 计算 而 不 是 以 素数 p 为 模 的 数 。 在 ANSI 
X9. 62 标准 中 对 ECDSA 进行 了 说 明 。 


11.4.3 RSA 签名 


RSA 是 用 它 的 发 明 者 Rivest，Shamir and 4dlemar(7978 ) 的 第 一 个 字母 命名 的 ， 它 同样 可 以 
用 于 签名 和 加 密 。RSA 的 这 种 特定 的 性 质 必须 对 许多 关于 数字 签名 和 公 钥 密码 的 流行 的 误解 负 
责 。 在 RSA 签名 方案 中 ， 用 户 4 选择 两 个 素数 p 和 4， 以 及 一 个 私有 签名 密 钥 e， 满足 gcd(e， 
Pp-1) =1 和 gcd(e， q-1). REBER AW HA n=p-¢ 和 指数 d 组成， 并且 满足 
e+ d=1 mod icm(p-1, 4-1)9 
签名 的 文档 是 整数 mr。 如 果 原 始 文档 太 长 ， 可 以 应 用 哈 希 函 数 和 填充 获得 摘要 进行 签名 。 膝 
用 一 个 适当 的 哈 希 函数 h、 计 算 h(m) ， 以 便 使 1<h(m) <n, 从 安全 方面 上 讲 ， 这 个 险 希 值 是 元 
余人 信息， 验证 者 可 用 它 来 识别 真正 的 文档 。 为 了 签名 m， 用 户 4 用 下 式 生 成 签名 : 
s=h(m) mod n 
验证 者 需要 4 的 验证 密 钥 (*，d) 并 检查 
s 与 h(m) mod n 是 否 相 等 
对 于 一 个 正确 的 签名 来 说 ， 这 个 等 式 是 成 立 的 ， 因 为 
s’ =h(m)’ “=h(m) mod n 





© lcem(p -1,， 9 ~1) 是 欧 拉 商 数 。 一 一 译 者 注 
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RSA 安全 与 因 式 分 解 的 难度 式 相 关 ， 但 是 并 不 等 价 于 它 的 难度 。 任 何 一 个 执行 RSA 的 安全 都 依 
赖 于 更 多 的 因子 。 比 如 ， 上 而 给 出 的 高 级 别 的 描述 并 没有 解释 h m) 是 怎样 编码 作成 为 一 个 模 为 
n 的 整数 。 用 0 来 追加 一 个 160 比特 的 SHA-1 函数 去 获得 一 个 1024 位 的 整数 将 是 一 个 错误 的 选 
择 。 编 码 函 数 选 择 得 不 好 会 引起 脆弱 性 。 当 前 推荐 的 执行 RSA 的 方法 叫做 随机 签名 方案 ( proba- 
bilistic signature Scheme ，RSA-PSS ) 。 


11.5 me 


我 们 保留 了 术语 加 密 (encryption) ， 它 表示 保护 数据 机 密 性 的 算法 。 加 密 算法 ， 也 叫做 加 密 
器 (cipher) ， 在 加 密 密 钥 的 控制 下 ， 将 明文 (Plaintext 或 cleartext) 加 密 。 我 们 用 eK(X) 来 表示 由 
密 钥 天 加 密 的 明文 X。 用 适当 的 解密 密 钥 解密 (decryption) ， 可 从 密 文 中 恢复 明文 。 我 们 用 
dK(X) 来 表示 用 密 钥 玉 解密 的 密 文 X。 对 于 固定 密 钥 ， 一 个 确定 的 加 密 算法 送 能 得 出 相同 的 密 
文 。 在 相同 的 密 钥 下 ， 一 个 随机 加 密 算法 可 对 相同 明文 的 不 同 加 密 给 出 不 同 的 密 文 。 

有 些 加 密 算法 提供 了 检测 违反 完整 性 的 方法 ,但 情况 并 非 总 是 这 样 。 你 甚至 可 能 注意 到 签 
名 算法 被 描述 为 使 用 私 钥 的 加 密 ， 但是， 这 种 说 法 常常 是 不 正确 的 ， 并且 常 带 有 误导 性 。 

加 密 算法 以 两 种 形式 出 现 。 在 对 称 加 密 算法 中 ， 加 密 和 解密 使 用 相间 的 密 钥 ， 这 个 密 钥 必 须 
保密 。 所 有 参与 者 共享 同一 密 钥 ， 他 们 可 以 阅读 彼此 的 加 密 数 据 。 为 了 对 不 同 参 与 者 建立 专用 信 
道 ， 每 个 信道 均 需 要 一 个 新 的 密 钥 。 维 护 大 量 的 共享 密 钥 可 能 成 为 一 种 十 分 繁重 的 管理 任务 。 

非 对 称 加 密 算法 (asymmetric encryption algorithms) ， 也 叫做 公 铀 算法 (public key algorithm) , 
加 密 和 解密 使 用 不 同 的 密 钥 。 加 密 密 钥 可 以 公开 ; 解密 密 钥 仍然 是 私有 的 ， 必 须 保 密 。 很 明显 ， 
这 两 个 密 钥 在 算法 是 相关 的 ， 但 是 想 要 从 公 钥 导出 私 钥 必须 是 不 可 行 的 。 为 了 区 分 对 称 密码 系 
统 和 公 钥 密码 系统 ， 我 们 在 对 称 密码 系统 的 上 下 文中 使 用 密 钥 ， 而 仪 仅 在 非 对 称 密码 系统 的 上 
下 文中 使 用 私 钥 。 

在 密 钥 加 密 系 统 中 ， 很 明显 ， 安 全 管理 任务 就 是 将 正确 的 密 钥 存放 在 合适 的 地 方 ， 这 种 安全 
管理 任务 显而易见 。 而 公 铀 密码 系统 看 似 可 简化 管理 。 毕 竟 ， 公 钥 是 公开 的 ， 且 不 需要 保密 。 当 
你 使 用 公 钥 加 密 算法 加 密 一 份 文档 的 时 候 ， 可 能 需要 知道 谁 能 够 阅读 这 个 加 密 后 的 文档 。 更 常 
见 的 是 ， 私 钥 可 能 授权 给 委托 人 或 者 用 作 携 带 访问 权限 的 能 力 ， 例 如 ， 读 一 份 文档 。 现 在 ， 保 证 
在 公 钥 和 访问 权限 或 者 与 对 应 的 私 钥 联系 在 一 起 的 委托 人 之 间 的 联系 是 一 项 主要 的 任务 。 在 
12. 5. 1 节 ， 我 们 将 回 到 这 个 主题 。 

加 密 算法 也 可 以 分 成 块 加 密 器 (block cipher) 和 流 加 密 器 (stream cipher)。 区 分 它们 有 两 个 
标准 。 l 

sR T: 块 密码 加 密 较 大 的 数据 块 ， 典 型 的 是 使 用 一 个 复杂 加 密 函 数 的 64 位 块 。 块 加 密 
器 的 安全 取决 于 加 密 函 数 的 设计 。 流 加 密 器 加 密 较 小 的 数据 块 ， 典 型 的 是 位 或 者 字 节 ， 使 用 一 个 
简单 的 加 蜜 函数， 例如， 位 异 或 运算 。 正 如 你 想象 的 一 样 ， 这 种 区 分 在 边界 处 就 变 得 模糊 不 清 
了 。 一 个 16 位 的 块 仍 然 是 一 个 大 的 块 吗 ? 加 密 算法 什么 时 候 是 简单 的 ? 

SAA: 块 加 密 器 使 用 同一 密 钥 来 加 密 属于 同一 文档 的 所 有 的 块 。 而 流 加 密 器 借助 连续 
变化 的 密 钥 流 加 密 整个 文档 。 流 加 密 器 的 安全 依赖 于 密码 流 生成 器 的 设计 。 在 这 种 定义 下 ， 使 用 
反馈 模式 的 DES( 见 下 文 ) 属 于 流 加 密 器 范畴 。 


11. 5.1 数据 加 密 标 准 


数据 加 密 标准 (Date Encryption Standard, DES) 是 计算 机 安全 和 密码 学 发 展 史 上 的 一 个 重要 
BE, DES 于 20 世纪 70 年 代 开发 的 ， 作 为 美国 政府 保护 非 机 密 信息 的 标准 ， 并 且 作 为 联邦 信 
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息 处 理 标准 发 布 (Federal Information Processing Standard; 美国 商务 部 ， 美国 国家 标准 局 ，1977)。 
DES 在 56bit 密 钥 控制 下 对 64bit 明文 块 加密 。 每 一 个 密 钥 均 通过 一 个 奇偶 检验 字 节 扩展 导 64bit 
工作 密 铀 。 与 大 多 数 的 块 加 密 器 一 样 ，DES 基于 Feistel 原理 。Feistel 加 密 器 在 大 量 的 循环 中 迭代 
相同 的 基本 步骤 。 第 i 轮 的 数据 被 划分 成 左 半 部 分 L 和 右 半 部 分 R,， 而 输出 采用 下 式 计算 : 


L =R, 

R,,, =L,@F(K,, R,) 

RP F PARA EAM, K 是 在 这 次 循环 中 的 子 密 钥 ， 如 
图 11-6 所 示 。 这 个 操作 的 逆 过 程 可 以 通过 同样 的 线路 来 进行 : 

R,=L,,, 
L, =R,, OF(K,, Li.) 

在 DES 中 的 非 线 性 函数 FF 将 32bit 输入 Ri 扩展 成 48bit 块 ， 并 
使 用 48bit 子 密 钥 Ki 进行 位 异 或 运算 。 这 个 中 间 结 果 划 分 为 8 个 
6bit 的 块 ， 它 们 用 作 8 A S & (substitution box, PRA) 的 输入 。 每 
AS AH Obit 的 输入 转换 成 4bit 的 输出 。5 盒 的 输出 通过 Pe 
(permutation box, ERA), EXt 32bit 的 输入 执行 位 置换 ， 给 出 函 
MF MR. 

DES 要 进行 16 # (round) 这 样 的 运算 。 每 轮 都 使 用 不 同 的 
48bit 子 密 钥 K,， 这 个 子 密 钥 是 从 56bit 的 DES 密 钥 入 生出 来 的 。 
第 一 轮 输 入 是 由 初始 化 置换 IP 处 理 的 ， 最 后 一 轮 的 输出 再 进行 一 
次 逆 置 换 ，IP"'。 图 11-7 给 出 了 DES 的 示意 图 。 我 们 省 略 了 密 钥 
编制 表 算 法 的 细节 ， 扩 展 方 案 ，$ 盒 和 置换 。 

20 世纪 70 年 代 ， 当 DES 变 成 了 标准 的 时 候 ， 人 们 预料 它 有 

15 年 的 适用 期 。 尽 管 DES 正在 被 高 级 加 密 算法 (AES; 美国 商务 

部 ， 国 家 标准 与 技术 协会 ，2001) 取 代 ，DES 老 当 益 壮 ， 仍 然 得 到 
广泛 使 用 ， 特 别 在 商务 和 金融 领域 。 对 DES 安全 的 主要 挑战 不 是 
来 自 新 的 密码 技术 ， 而 是 它 的 密 钥 大 小 。 今 天 ， 不 需要 专用 设备 ， 
对 56bit 密 钥 空间 的 穷 举 搜索 已 经 很 容易 了 。 工 作 站 的 性 能 正 逐 年 
增长 ， 网 络 使 得 业余 密码 分 析 者 可 以 使 用 更 多 的 资源 。 在 这 样 对 
抗 的 环境 下 ， 你 只 能 期 望 一 个 56bit 的 密 钥 能 够 生存 几 个 星期 或 者 
几 个 月 ， 而 不 是 几 十 年 或 者 几 个 世纪 。 多 重 密码 可 扩展 密 钥 的 大 
小 ， 而 不 必 改 变 算法 。 推 荐 的 选择 是 使 用 了 三 个 56bit 密 钥 的 三 重 
(triple) DES。 因 为 它 保持 了 与 单一 的 DES 的 向 后 兼容 性 ， 使 用 两 
个 56bitDES 密 钥 K, 和 K,， 按 下 式 对 明文 P BEATIN: C = eK, 
(dK,(eK.(P))。 

2001 年 ，Rijndael 算法 (Daemen and Rijmen, 1999) 被 用 作 
AES, 美国 联邦 的 一 个 标准 。 这 个 算法 可 以 使 用 大 小 为 128bit， 
192bit 和 256bit 的 密码 。AES 使 用 128 位 的 数据 块 工作 。Rijndael 
专门 用 来 运行 于 192 位 和 256 位 数据 块 之 上 ， 其 中 数据 块 的 长 度 
可 以 被 独立 于 密 锅 长 度 选择 。 








图 11-7 DES 算法 
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11.5.2 块 加 密 器 模式 


块 加 密 器 可 以 用 于 各 种 各 样 的 加 密 模式 。 在 电子 密码 本 (electronic code book，ECB ) 模 式 中 ， 
每 个 明文 块 都 用 相同 的 密 钥 独立 加 密 。 这 种 模式 可 能 泄漏 关于 明文 的 信息 。 如 果 一 个 明文 块 是 
重复 出 现 的 ， 这 种 重复 性 也 会 出 现在 密 文 中 。 而 且 ， 完 整 性 保护 非常 有 限 。 解 密 不 检测 密 文 块 的 
顺序 是 否 已 经 改变 ， 有 些 块 是 否 已 经 丢失 ， 或 者 有 些 块 是 否 已 经 被 复制 。 

在 图 11-8 的 密码 块 链 (cipberblock chaining, CBC) 模式 中 ， 前 面 的 密码 块 C ,在 加 密 前 被 加 
到 (位 异 或 ) 下 一 个 明文 块 P,， 即 : 


C, = eK(P,@C,, ) 





11-8 密码 块 链 模式 


因此 ， 重 复 的 明文 块 不 会 作为 重复 的 密 文 块 表现 出 来 。 对 于 第 一 个 明文 块 P, ，C。 用 作 初 始 
化 向 量 。 这 个 初始 化 向 量 通常 是 保密 的 ， 尽 管 在 很 多 的 应 用 中 ， 这 并 不 是 必需 的 安全 条 件 。 对 每 
一 个 消息 ， 初 始 化 向 量 都 应 该 改变 ， 以 确保 观察 者 不 能 检测 到 两 个 明文 始 于 相同 的 块 。 初 始 化 向 
量 也 被 用 来 解密 第 一 个 密 文 块 。 密 文 块 C, 使 用 下 式 进 行 解密 : 

P,=C,_,@dK(C,) 


如 果 一 个 密 文 块 被 破坏 了 ， 这 种 损坏 将 被 限制 在 两 个 明文 块 中 。 假 设 C, 用 来 代替 了 C, 
下 列 运算 后 : 


P: = C,,,@dK(C,) 


P, =C,@dK(C,,,) 

正常 的 解密 服务 又 恢复 了 。 

输出 反馈 模式 (output feedback, OFB; 参见 图 11-9) 使 用 块 加 密 器 作为 流 加 密 器 的 密 钥 流 生 
成 器 。 在 这 个 模式 中 ， 明 文 可 以 以 小 于 密码 算法 所 要 求 的 块 尺寸 的 块 为 单位 进行 处 理 。 加 密 函 数 
的 输入 存储 在 寄存 器 中 。 该 寄存 器 的 初始 内 容 由 初始 化 向 量 来 确定 。 为 了 加 密 一 个 明文 块 ， 可 把 
它 添 加 到 加 密 函 数 输 出 的 一 个 子 块 中 ( 按 位 异 或 ) 。 加 密 函 数 的 输出 则 被 反馈 到 了 移 位 寄存 器 。 
解密 过 程 与 加 密 完 全 相同 。 每 条 消息 对 应 的 初始 化 向 量 均 有 变化 ， 但 是 不 需要 保密 。 在 密 文 块 
C, 传送 中 的 错误 仅仅 会 影响 对 应 的 明文 块 P,。 因 此 攻击 者 可 以 通过 在 对 应 位 置 修改 密 文 块 来 选 
择 性 地 修改 明文 块 。 





图 11-9 输出 反馈 模式 
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密码 反馈 (cipher feedback, CFB) 模式 (图 11-10) 使 用 块 加 密 器 来 生成 与 数据 相关 的 密 钥 流 。 
并 且 ， 明 文 也 可 以 在 比 密码 算法 要 求 的 尺寸 小 的 情况 下 处 理 。 在 这 种 模式 中 ， 先 前 的 密 文 块 被 反 
馈 到 一 个 移 位 寄存 器 。 这 个 寄存 器 的 内 容 被 加 密 ， 且 这 个 密 文 的 子 块 被 添加 到 下 一 个 明文 块 中 
( 按 位 异 或 )。 解 密 过 程 与 加 密 相同 。 在 这 种 模式 中 ， 每 条 消息 对 应 的 初始 化 向 量 均 有 变化 。 初 
始 化 向 量 被 要 求 用 来 解密 第 一 个 密 文 块 ， 不必 保密 初始 化 向 量 。 密 码 块 的 传输 错误 或 者 更 改 将 
影响 解密 ， 直 到 改变 的 块 从 移 位 寄存 器 中 移出 ， 并 将 加 密 函 数 反馈 给 接收 端 。 

















图 11-10 ”密码 反馈 模式 


11. 5.3 RSA 加 密 


MRSA 签名 方法 中 我 们 已 经 熟悉 这 个 方案 的 基本 结构 了 。 当 RSA 用 于 公 钥 加 密 算法 时 ， 用 
户 4 选择 两 个 素数 已 和 4， 一 个 私有 解密 指数 d, WE gcd(d, P-1) =1 Ml ged(d, 4-1)=1。 
公共 加 密 密 钥 由 积 n =p. 4 和 指数 。 组 成 ， 满 足 : 
e+ d=1 mod Iem(p-1, q-1) 
' 消息 必须 被 划分 成 块 ， 使 得 每 个 块 都 是 一 个 小 于 的 整数 。 为 了 将 消息 m 发送 给 4， 发 送 者 
计算 : 
c =m" mod n. 
.接收 者 4 使 用 私有 解密 密 钥 d 以 获得 : 
ci =m =m mod n. 
不 要 被 这 个 算法 的 简单 性 所 欺骗 。 正 确 的 执行 是 相当 机 警 的 ， 过 于 简单 的 “教科 书 似 的 
RSA” 的 执行 有 可 能 是 不 安全 的 。 
1. 填充 
RSA 是 一 个 块 密码 器 。 根 据 密 钥 的 长 度 ， 消 息 被 分 成 1024( 或 者 2048，4096，…) 比特 长 的 
块 。 当 对 一 条 消息 进行 加 密 的 时 候 ， 必 须 采 用 填充 (padding) 来 使 消息 的 长 度 达到 多 个 块 长 度 的 
倍数 。 填 充 可 以 防御 一 些 攻击 。 当 解密 一 条 消息 的 时 候 ， 接 收 者 可 以 检查 填充 的 数据 并 且 丢弃 语 
义 上 不 正确 的 填充 的 明文 。 另 一 方面 ， 填 充 可 能 被 攻击 者 利用 。PKCS#l v1.5 曾 建 议 再 填充 一 个 


数据 D， 如 下 所 示 : | 
[oo fo | es | wo | 2 | 


填充 的 前 两 个 字 节 分 别 是 0 和 2。PS 是 一 个 非 0 字 节 长 度 1 nl - 1 DI -3 产生 的 假 随 机 
数 。 这 样 一 来 ， 数 据 D 前 面 会 有 另外 一 个 值 为 0 的 字 节 。 

Bleichenbacher( 1998) 发 现 了 一 个 针对 带 有 这 种 填充 方式 的 RSA 的 攻击 : 如 果 接 收 者 发 信号 
表示 解密 是 否 失败 或 者 成 功 ， 这 个 攻击 需要 大 约 2” 可 选择 的 密 文 来 得 到 明文 。 这 个 攻击 最 典型 
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的 设置 将 是 SSL 协议 (参见 13. 4 节 ) 。 重 新 得 到 的 这 个 数据 是 一 个 会 话 密 钥 ， 接 收 者 是 一 个 服务 
器 。 攻 击 者 截取 了 一 个 加 密 的 会 话 密 钥 ， 然 后 向 服务 器 发 送 了 一 个 可 选择 的 密 文 。 当 解密 失败 
时 ， 服 务 器 回应 一 个 错误 信息 。 没 发 送 错误 信息 表示 已 成 功 ， 并 缩小 了 包含 会 议 密 钥 的 间距 。 攻 
击 者 一 直 重复 这 项 工作 ，2” 次 尝试 后 就 可 以 确定 唯一 的 密 钥 了 (在 密 钥 中 ，10 亿 已 经 是 个 很 小 的 
数 了 )。 

由 于 存在 这 种 攻击 ， 最 佳 非 对 称 加 密 填充 ( Optimal Asymmetric -Encryption Padding, OAEP) 
被 采用 来 作为 填充 RSA 消息 的 新 标准 。OAEP 很 吸引 人 们 的 注意 ， 因 为 它 对 自己 的 安全 有 正式 
的 定理 (Beliare and Rogaway，1995) 。 然 而 ， 这 个 定理 也 有 破绽 ,但 是 可 以 修复 (Shoup，2001 ) 。 
与 此 同时 ,市 上 又 会 出 现 新 的 攻击 (Manger，2001)， 在 写 这 本 书 时 ， 关 于 填充 安全 计划 的 研究 
还 在 继续 进行 中 。 

2. 经 验 教训 

即使 加 密 算法 在 抽象 的 数学 层面 上 是 安全 的 ， 也 可 以 找到 对 抗 具体 的 执行 的 攻击 。 这 样 ， 就 
需要 在 抽象 的 低级 别 中 的 安全 分 析 。 


11.5.4 ElGamal 加 密 


在 EIGamal 公开 密 钥 算法 中 , p 仍 是 一 个 大 的 且 适 当选 择 的 素数 ， 且 设 8 是 一 个 以 p 为 模 的 
高 阶 整 数 。 设 a 是 用 户 4 的 私有 和 解密 密 钥 ， 且 y, =g mod p 是 相应 的 公共 加 密 密 钥 。 消 息 被 划分 
成 块 ， 使 得 每 个 块 都 是 一 个 小 于 p 的 整数 。 为 了 将 一 个 消息 块 m 发 送 给 4， 发 送 者 选择 一 个 随机 
Hk, WE r=g mod p， 发 送 如 下 密 文 : 

(ci, c) =(r, mys) 
给 4。4 使 用 其 私有 解密 密 钥 a， 可 以 获得 : 


在 这 种 方案 中 ， inh 另 一 方面 ， 如 果 两 个 明文 块 相 等 ， 相 应 的 
密 文 块 却 是 不 相同 的 。 随 机 数 上 仅仅 用 于 加 密 一 次 。 随 机 数 的 重复 使 用 会 严重 地 莉 弱 密码 的 
强度 。 


11.6 密码 机 制 的 强度 


度量 密码 算法 的 强度 是 一 门 不 精确 的 艺术 ， 有 时 建立 在 稳定 的 数学 基础 上 ， 有 时 又 依赖 于 
直觉 和 经 验 ， 一 个 密码 算法 可 以 是 : 

e 经 验 安全 (empirically secure)。 

© 可 证 明 的 安全 (provably secure)。 

e 无 条 件 安全 (unconditionally secure)。 

如 果 一 个 算法 已 经 经 受 住 了 时 间 的 检验 ， 那 么 我 们 说 它 是 经 验 安 全 的 。 长 期 的 分 析 没有 发 
现 它 有 什么 严重 的 缺陷 ， 虽 然 没有 证 明 该 算法 不 会 最 终 受到 一 个 新 的 或 者 有 创造 才能 的 攻击 ， 
算法 已 经 在 密码 学 界 范围 内 被 广泛 接受 。 除 去 它 的 密 钥 长 度 ，DES 便 是 一 个 经 验 安全 的 最 好 
的 例子 。 新 的 分 析 方 法 ， 比 如 微分 密码 分 析 学 ， 已 经 加 强 而 不 是 削弱 了 已 知 的 DES 安全 。 

可 证 明 的 安全 算法 ， 似 乎 提供 了 计算 机 安全 一 直 渴望 的 东西 ， 即 可 证 明 的 安全 。 可 证 明 的 安 
全 是 在 复杂 理论 的 框架 结构 内 表示 的 。 如 果 破 解 一 个 算法 至 少 和 解决 另外 一 个 问题 一 样 的 困难 ， 
而 另外 一 个 问题 我 们 已 经 知道 它 几乎 是 不 可 破解 的 ， 那 么 这 个 算法 就 是 可 证 明 安全 的 。 这 个 定 
义 听 起 来 很 好 ， 但 是 阅读 这 些 限 制 性 的 附属 细则 却 很 费劲 。 
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“至 少 一 样 困难 ”是 一 个 渐 近 的 概念 。 对 于 “足够 大 ”的 问题 实例 它 是 成 功 的 。 然 而 ， 这 个 理 
论 不 会 告诉 你 什么 是 足够 大 的 。 相 反 ， 你 必须 评估 目前 的 计算 设备 的 能 力 和 算法 设计 的 进展 情 
况 。 例 如 ， 我 们 能 够 进行 因 式 分 解 的 数 的 大 小 在 近 几 年 中 不 断 地 增长 。 你 会 同意 这 是 一 个 经 验 论 
点 。 其 至 还 有 更 糟 的 情况 。 密 码 系统 特别 偏爱 的 难 解 问题 是 因 式 分 解 和 离散 对 数 问题 。 现 在 并 没 
有 实际 证 明 这 些 问题 一 定 是 难 解 的 。 密 码 系统 再 次 依赖 于 经 验 论证 : 到 目前 为 止 没 有 找到 快速 
算法 ， 因 此 极 不 可 能 有 大 的 突破 。 但 从 乐观 的 角度 来 说 ， 这 一 理论 也 产生 了 很 多 建设 性 的 结果 ， 
为 攻破 与 破解 其 他 密码 原 语 难 度 相关 的 密码 方案 所 需 的 工作 量 确 定 了 下 界 。 

可 证 明 的 安全 算法 有 可 能 被 拥有 足够 多 计算 资源 的 攻击 者 攻破 。 当 然 ， 你 可 以 祈祷 这 些 必 
需 的 资源 超出 了 任何 攻击 者 的 能 力 。 无 条 件 安 全 算法 不 能 被 攻破 ， 即 使 攻击 者 拥有 无 限 的 计算 
能 力 。 无 条 件 安全 是 在 按照 信息 论 的 概念 来 表示 的 。 如 果 一 个 攻击 者 查看 密 文 没有 获得 关于 明 
文 的 附加 信息 ， 则 这 个 算法 就 是 安全 的 。 

无 条 件 安全 算法 的 标准 实例 是 一 次 性 填充 (one- time pad) 。 发 送 者 和 接收 者 共享 一 个 真正 的 
随机 密 钥 流 ， 这 些 密 钥 只 使 用 一 次 。 密 文 是 明文 和 密 钥 流 的 位 异 或 运算 的 结果 。 接 收 者 采用 相同 
的 密 钥 流 对 密 文 进行 位 异 或 运算 ， 这 样 便 可 以 从 密 文 中 恢复 出 明文 : 

BOR AR = ANORAROH AR = 明文 

因为 每 个 密 钥 都 是 等 概率 的 ， 攻 击 者 不 可 能 猜测 到 关于 明文 的 任何 信息 ， 而 且 在 看 到 密 文 
以 前 也 不 可 能 对 明文 有 任何 的 猜测 。 

注意 ! 即使 无 条 件 的 安全 密码 已 经 被 破解 。 当 操作 者 抄 近 路 和 两 次 使 用 相同 的 密 钥 流 时 ， 攻 
击 者 若 释 加 这 两 个 密 文 将 看 到 两 个 明文 的 组 合 : 

BX OFX, = AX, OFPAROCHX, OF AR = 明文 ,加 明文 ， 

理解 覆盖 在 一 起 的 两 个 明文 消息 完全 不 是 一 个 困难 的 密码 分 析 问 题 。Venona 工程 证 明 这 样 
的 事件 甚至 发 全 在 冷战 的 最 严重 时 期 。 

最 后 再 强调 一 个 至 关 重 要 的 事实 。 时 常 ， 密 码 系统 被 攻破 是 因为 劣质 的 密 钥 管理 而 不 是 算 
法 的 加 有 弱点 。 在 第 二 次 世界 大 战 时 的 Enigma 就 是 说 明 这 种 观点 的 最 著名 的 例子 。 因 此 ， 密 钥 
管理 协议 的 安全 就 显得 极端 的 重要 。 第 12 章 中 就 包含 了 密 钥 管理 协议 的 说 明 。 


11.7 演示 


总 结 Preneel et al. (2003) 报道 的 一 些 演示 数据 ， 不 难 发 现 其 中 有 许多 算法 和 平台 的 细节 研 
A, 来 显示 加 密 算 法 的 执行 性 能 。 我 们 采用 的 方法 是 在 一 台 奔 腾 下 的 电脑 上 ， 在 Linx 的 环境 
下 ， 用 软件 运行 这 个 算法 。 不 同 的 编译 器 其 执行 的 次 数 也 不 同 。 表 11- 1 给 出 了 哈 希 函数 、 流 起 
密 器 和 块 加 密 器 的 执行 度量 ， 作 为 每 个 字 节 的 指令 周期 数 。 表 11-2 比较 了 RSA 和 两 个 ECDSA 
变量 。 度 量 以 每 次 调用 的 周期 数 ( 百 万 级 ) 给 出 。RSA MBM RSA 签名 用 公共 指数 e =3 来 演示 
使 用 短 型 公共 指数 获取 的 最 大 限度 的 收益 。 给 出 算法 的 密 钥 长 度 作为 参考 。 


表 11-1 哈 希 函数 各 对称 密 钥 算法 的 性 能 测定 
运算 法 则 周期 / 字 节 运算 法 则 周期 / 字 节 





RC4 7-8 SHA2-512 83 


MD5 7-8 Rijindael- 128 25-30 | 








SHA-1 15 DES 60 








运算 法 则 


125 





11-2 非 对 称 算法 和 数字 签名 算法 的 性 能 测定 









































运算 周期 /调用 密 钥 设置 (周期 ) 密 钥 长 度 ( 比特) 
加 密 2. 026M 
RSA _ OAEP 解密 42. 000M 1. 654M 1024 
RSA _ PSS | 签名 | 42. 000M 1. 334M 1024 
验证 2. 029M 
ECDSA _ GF(p) Ee | 4.775M 4. 669M 160 
- 验证 6. 085M ` | 
ECDSA _ GF(2” | ee | 5. 061M 4. 825M 163 
- GF(2") 验证 6. 809M ` 
11.8 深层 阅读 


如 果 你 对 秘密 通信 的 历史 感 兴趣 ，Kahn(1976) 的 著作 算得 上 是 一 本 比较 好 的 参考 书 。 最 新 
的 关于 密码 系统 的 专业 的 参考 可 以 阅读 Menezes, van Oorschot and Vanstone (7997 ) Schneier 
(1996 ) 的 著作 给 出 来 对 现代 密码 学 的 比较 好 的 、 非 数学 的 介绍 ， 它 还 有 一 个 非常 丰富 的 参考 目 
录 ， 并 收集 了 大 量 的 密码 算法 。 在 这 些 书 中 ， 你 可 以 找到 在 本 章 中 提 到 的 算法 的 所 有 细节 和 深层 
的 信息 。Differ and Hellman( 1976) 是 公开 密 钥 算法 中 ， 素 数 是 一 个 重要 的 因数 。 可 以 在 Granville 
(2005) 中 找到 有 关 原 始 测试 的 优秀 阐述 。 有 关 新 的 块 加 密 器 模式 的 发 展 ， 可 参阅 NIST 专门 的 出 
版 物 800-38A，800-38B 和 800-38C。 有 关 Venona 文件 可 以 访问 http://www. nsa. gov/venona/ 。 


11.9 练习 


练习 11. 1 ”密码 协议 被 用 于 部 门 在 不 安全 的 网 络 上 进行 安全 通信 。 这 种 说 法 正确 吗 ? 

练习 11.2 密码 学 需要 物理 安全 。 这 句 话 在 什么 程度 上 是 正确 的 ? 

练习 11. 3 ”假定 要 发 起 一 个 需要 估算 2” 次 运算 的 哈 希 函数 ， 哈 希 值 应 该 多 长 才能 分 别 达 到 
弱 和 强 的 冲突 对 抗 。 

练习 11.4 就 DSA 写 出 使 条 件 v=r 成立 的 有 效 签名 。 

练习 11.5 AERE n 次 操作 的 n 位 比特 整数 的 一 个 模 指数 运算 ， 把 1024 比特 移 到 2048 
比特 的 RSA 会 造成 多 大 程度 的 执行 影响 ? 

练习 11.6 考虑 RSA 是 一 个 没有 哈 希 函数 的 签名 算法 ， 例 如 s=m* mod n。 请 解释 如 果 消 
息 m 上 没有 正式 的 检测 ， 攻 击 者 如 何 才 能 伪造 签名 ， 以 及 到 哪 种 程度 。 

练习 11.7 当 一 个 文档 因 太 长 而 不 能 被 DSA 直接 处 理 时 ， 对 文档 计算 哈 希 值 ， 然 后 对 哈 希 
值 进行 签名 。 你 要 求 这 个 哈 希 函数 具有 什么 样 的 性 质 ， 才 能 阻止 攻击 者 伪造 签名 ? 
”。 区 分 两 种 情况 ， 一 种 是 攻击 者 仅 知道 受害 者 签名 的 消息 ， 另 一 种 是 攻击 者 可 以 选择 受害 

者 会 签名 的 消息 。 

e 区 分 选择 性 伪造 和 存在 性 伪造 ， 在 选择 性 伪造 中 ， 攻 击 者 对 伪造 消息 有 控制 权 ， 而 在 存在 

性 伪造 中 ,攻击 者 对 伪造 消息 没有 控制 权 。 

。 考虑 特定 的 使 用 可 逆转 签名 算法 (如 RSA、 哈 希 函 数 ) 的 需求 。 . 

练习 11.8 是 否 能 够 用 任意 的 “素数 对 ”安全 地 使 用 RSA? 调查 使 用 强 素数 的 原因 ， 以 及 强 
素数 的 属性 。 当 素数 更 长 时 ， 这 些 原因 是 否 继续 有 效 ? 

练习 11.9 在 ELGamal 签名 算法 中 ， 如 果 随 机 值 上 用 于 两 个 不 同 的 文档 中 ， 试 说 明 私 有 签 
名 密 钥 可 以 如 何 被 泄密 ? 

练习 11. 10 NP-complete 问题 是 否 是 构建 密码 算法 的 合适 基础 ? 





第 12 章 ”分布 式 系统 中 的 认证 


密码 学 可 把 安全 问题 转换 为 密 钥 管理 问题 。 为 了 使 用 加 密 、 数 字 签 名 或 是 消息 认证 码 
(MAC) ， 参 与 者 必须 持 有 正确 的 密 钥 。 在 公 钥 算法 中 ， 参 与 者 需要 拥有 可 信 公 钥 。 在 对 称 密 钥 . 
算法 中 ， 参 与 者 需要 共享 密 钥 。 这 可 以 通过 邮件 送信 来 实现 一 一 一 个 常见 的 信用 卡 分 发 PINs 的 
方法 ， 或 者 通过 信使 在 地 点 之 间 往 返 和 递送 密 钥 来 实现 。 这 些 建议 都 是 非常 不 可 靠 或 者 是 相当 
昂贵 的 。 理 想 的 情况 是 ， 我 们 能 够 在 现 有 的 通信 基础 框架 上 执行 密 钥 管理 机 制 。. 

当 双 方 商谈 一 个 新 密 钥 的 时 候 ， 因 为 这 是 它们 第 一 次 通信 或 是 它们 开始 了 一 个 新 的 会 话 ， 
此 时 它们 可 能 都 必须 证 明 它们 是 谁 。 证 明 身 份 和 建立 密 钥 曾经 都 叫做 认证 。 本 章 将 讨论 并 区 分 
这 两 个 行为 。 l 

目标 

。 澄 清 认 证 可 能 的 含义 。 

© PAR He EE 

。 讨论 怎样 将 公 钥 链接 到 用 户 身份 认证 上 。 

。 说 明 密码 协议 如 何 应 用 到 计算 机 安全 中 。 


12.1 引言 


公 钥 推算 起 来 比 对称 密 钥 花 费 更 昂贵 。 花 费 的 原因 包括 推算 时 间 和 带宽 。 这 两 者 都 取决 于 
密 名 的 长 度 。 用 长 期 密 铀 来 减少 “攻击 面 "更 为 可 取 。 这 可 以 预防 那些 需要 收集 大 量 加 密 材 料 的 
攻击 。 作 为 这 两 个 问题 的 一 个 解决 方法 ， 可 以 使 用 长 期 密 钥 来 建立 短期 的 会 话 密 钥 (session 
key), . 

将 密 钥 的 使 用 限制 于 一 个 专门 的 目的 不 失 为 很 好 的 密码 学 实践 。 在 密 钥 管理 中 ， 我 们 可 能 
会 用 到 密 名 加 密 密 码 和 数据 加 密 密 码 。 密 铀 使 用 (key usage) 的 例子 有 加 密 、 解 密 、 数 字 签 名 (用 
于 认证 ) 和 通信 安全 中 的 认可 等 。 在 公 钥 加 密 中 ， 我 们 强烈 推荐 不 要 对 加 密 和 数字 签名 使 用 一 个 
单一 的 密 钥 对 。 密 钥 使 用 的 其 他 例子 为 : 在 分 等 级 的 密 钥 管 理 方案 中 掌握 密 钥 和 交易 密 钥 。 


12.2 密 钥 建立 和 认证 


建立 会 话 密 钥 协 议 曾 被 称 为 认证 协议 。 毕 竟 ， 它 们 的 目的 也 是 让 你 知道 “你 在 和 谁 谈 话 ”。 
在 文献 中 ， 特 别 是 在 旧 的 著作 中 ， 你 可 能 仍然 可 以 找到 这 些 协定 。 今 天 ， 密 码 学 中 的 术语 区 分 了 
认证 和 密 钥 建立 。 从 认证 逐步 分 离 出 密 钥 建立 在 国际 标准 化 组 织 的 发 展 过 程 中 有 所 体现 。20 世纪 
80 年 代 ，ISO/OSI 框架 (1SO 7498-2; 国际 标准 化 组 织 ，1989) 仍 然 有 面向 会 话 的 实体 认证 观点 。 


对 等 实体 认证 ”确认 连接 中 的 对 等 实体 就 是 其 所 声名 的 身份 。 在 创建 连接 的 数据 传 给 
阶段 时 或 者 期 间 ， 这 项 服务 被 用 来 确认 一 个 或 多 个 相连 实体 的 身份 。 


在 19 世纪 90 年 代 早 期 ， 国际 标准 化 组 织 ISO/IEC 9798-1( 国 际 标准 化 组 织 ，71991 ) 用 一 种 方 
法 定义 了 实体 认证 ， 该 方法 不 再 包含 安全 会 话 的 建立 。 


实体 认证 ”实体 认证 机 制 多 许 一 个 实体 核实 另 一 个 实体 声称 的 身份 。 实 体 认证 仅 能 在 
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认证 交换 的 例子 中 被 确定 。 

在 该 解释 中 ， 实 体 认 证 就 是 核实 一 个 实体 是 否 是 活动 的 。 在 通信 网 络 中 ， 该 属性 与 对 方 失效 
探测 (dead peer detection) 相关 联 。 

在 单方 认证 中 ， 仅 一 方 实体 被 认证 。 在 相互 认证 中 ， 实 体 双 方 都 要 被 认证 。 


12.2.1 远程 认证 


任何 时 候 想 改变 的 环境 ， 都 必须 重新 评估 已 建立 的 安全 机 制 是 否 适 合 。 从 一 个 集中 式 系 统 
中 移 到 一 个 分 布 式 系 统 显然 对 安全 会 有 很 大 影响 。 想 要 看 看 这 个 改变 对 你 的 影响 有 多 大 ， 可 以 
参看 通过 口令 的 认证 (第 3 章 ) 。 当 用 户 在 与 一 台 主 机 有 国定 连接 的 终端 上 工作 时 ， 口 令 是 很 有 
用 的 。 这 里 ， 你 可 以 有 充分 的 理由 相信 在 终端 和 主机 之 间 的 连接 是 安全 的 ， 并 且 窃 听 口 令 ， 更 改 
或 者 插入 信息 ， 或 者 控制 一 个 会 话 都 是 不 可 能 的 。 而 在 一 个 分 布 式 设置 中 ， 这 种 关于 通信 连接 安 
全 方面 的 基本 假设 不 容易 被 证 实 。 

在 网 络 上 无 保护 的 口令 传送 显然 是 一 个 漏洞 ， 很 容易 利用 该 漏洞 。 口 令 嗅 探 器 (password 
sniffer) 是 程序 ， 这 些 程序 监听 网 络 通信 量 ， 并 且 选 出 包含 口令 和 其 他 安全 相关 信息 的 数据 包 。 
口令 仍 是 一 个 在 分 布 式 系统 中 爱 欢 迎 的 认证 机 制 。 这 里 以 http 协议 作为 例子 。 它 在 客户 机 和 服务 
器 上 运行 。 客 户 端 发 送 htp 请 求 给 服务 器 。 为 了 验证 这 个 客户 端 ，http 协议 有 一 个 基于 客户 和 服 
务 器 都 知道 的 共享 密 钥 ( 口令) 内置 认 证 机 制 。 有 两 种 认证 ， 基 本 访问 认证 (Basic Access Authenti- 
cation ) 和 摘要 访问 认证 (Digest Access Authentication ) 。 

在 基本 访问 认证 中 ， 客 户 端 必须 提供 口令 。 当 客户 端 请 求 一 个 受 保护 的 资源 ， 服 务 器 就 回复 
401 未 授权 的 回应 码 。 然 后 客户 端 将 认证 信息 (基本 的 64 位 编码 密码 ) 发 送 给 服务 器 ， 服 务 器 再 
核实 客户 端 是 否 已 被 授权 访问 资源 。 所 有 的 认证 数据 都 以 明文 方式 发 送 。 协 议 像 这 样 运行 。 

o 客户 端 : GET/index. html HTTP/1. 0 


© R488: HTTP/1. 1 401 Unauthorized 
WWW- authenticate Basic realm ="SecureArea" 


© 客户 端 : GET/index. html HTTP/1. 0 
Authorization: Basic am91dXNlcjphLmiuQy5E 


© 服务 器 端 : HTTP/1. 1 200 Ok( 以 及 被 请 求 文档 ) 

相反 ， 分 类 访问 认证 并 不 以 明文 发 送 口 令 。 在 一 个 质询 - 回应 (challenge- response ) 协议 中 使 
用 了 一 个 加 密 hash 函数 h( 一 般 是 MD5 ) 。 由 服务 器 发 送 的 WWW 认证 参数 包括 一 个 独立 的 质 
询 ， 即 所 谓 的 序列 号 (nonce) 。 服 务 器 负责 保证 每 一 个 401 回复 都 伴随 一 个 独立 的 、 先 前 没 使 用 
过 的 序列 号 值 。 客 户 端 用 一 个 授权 的 回应 回复 ， 这 个 回应 包括 了 明文 用 户 名 、 刚 接收 到 的 序列 号 
值 以 及 所 谓 的 “请 求 一 摘要 ”(request- digest) ， 计 算 如 下 : | 

请 求 - 摘要 =h(h( 用 户 名 | 领域 | 密码 ) || 序列 号 ‖ h( 方 法 digest- uri) ) 
其 中 “digest-uri” 涉 及 所 请 求 的 URI 和 给 予 http 请 求 方法 的 “方法 ”。 在 RFC 2617 中 详细 给 出 了 这 
个 协议 的 所 有 选项 的 详细 描述 。 

术语 序列 号 是 由 Needham and Schroeder( 1978) 提 出 的 ， 用 来 表示 只 被 使 用 一 次 的 独立 值 。 
序列 号 在 协议 设计 中 扮演 很 重要 的 角色 。 序 列 号 可 以 是 一 个 计数 值 、 一 个 时 间 惟 或 是 一 个 随机 
数 。 序 列 号 没有 必要 一 定 是 无 法 预知 的 ， 但 一 些 协议 要 求 使 用 无 法 预知 的 序列 号 。 它 根据 不 同 的 
安全 目标 来 决定 应 该 需要 哪 种 类 型 的 序列 号 。 

RADIUS 协议 (远程 认证 拨 入 用 户 服 务 器 ，RFC 2865 ) 就 是 一 个 通过 口令 来 实现 远程 用 户 认 
证 的 例子 。 与 http 摘要 访问 认证 相似 ，RADIUS 包含 了 一 个 挑战 - 回应 选择 ， 其 中 口令 不 会 以 明 
文 方式 传送 。 
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12.2.2 密 钥 建立 


为 两 个 或 更 多 的 参与 者 建立 以 后 共同 使 用 的 密 钥 的 过 程 现在 叫做 密 钥 建立 (key establish- 
ment) 。 这 个 过 程 包括 愿意 建立 共享 密 钥 的 双方 ， 通 常 叫做 主角 ( principal ) ， 另 外 可 能 还 有 像 认 
证 服务 器 那样 的 第 三 方 。 在 密 钥 建 立 协议 中 的 主角 可 以 不 用 和 访问 控制 (第 4 章 ) 中 的 主角 一 样 。 
当 第 三 方 能 够 操作 协议 的 安全 目标 时 ， 它 叫做 可 信 第 三 方 (trusted third party，TTP)。 当 主角 调 
用 它 的 服务 时 ， 它 们 必须 信任 TTP. . 

有 时 ， 对 一 个 密码 学 协议 的 数学 细节 分 析 揭 示 了 存在 这 样 一 个 弱 密 锅 (weak key) 的 子 集 ， 这 
个 子 集 将 允许 人 侵 者 进行 欺骗 。 在 设计 一 个 密 钥 交换 协议 的 时 候 ， 你 应 该 回答 下 面 两 个 问题 。 

。 如 果 建 立 了 一 个 弱 密 钥 ， 哪 一 方 参与 者 会 受 攻击 ? 

@ 哪些 参与 者 可 以 控制 密 钥 的 选择 ? 

如 果 内 部 人 员 的 误 用 行为 能 够 影响 密 钥 的 产生 ， 使 得 能 够 选择 出 一 个 弱 密 钥 ， 这 便 给 内 部 
人 员 攻 击 留 出 了 余地 。 这 种 情况 被 认为 是 密 钥 控制 。 因 此 ， 密 钥 建 立 服务 可 以 根据 每 一 个 主角 对 
新 密 钥 和 提供 的 实际 安全 保证 所 作 的 贡献 进一步 区 分 开 来 (Menezes，Oorscport and Vanstone, 
1997) 。 

。 密 钥 传 输 : 参与 者 一 方 创建 一 个 秘密 值 ， 然 后 把 它 安 全 地 传送 给 另 一 方 (另外 几 方 )。 

。 密 钥 一 致 : 双方 都 参与 秘密 值 的 生成 以 便 没有 哪 一 方 能 够 预知 输出 的 结果 。 

。 密 钥 认 证 : 参与 者 一 方 确信 除了 专门 确认 过 的 第 二 参与 方 之 外 ， 没 有 其 余 的 参与 方 能 够 

访问 特定 的 密 钥 。 

。 密 钥 确认 : 参与 者 一 方 确信 第 二 参与 方 (可 能 无 法 辨别 其 身份 ) 拥 有 一 个 特定 的 密 钥 。 

。 显 式 密 钥 认证 : 双方 都 持 有 密 钥 认证 和 密 钥 确认 。 

图 12-1 显示 了 实体 认证 的 意义 是 如 何 随 着 时 间 的 推移 发 展 的 。 评 估 一 个 协议 时 所 考虑 的 其 
他 因素 是 第 三 方 要 求 。 它 包括 TIP 吗 ? 它 是 离线 的 还 是 在 线 的 ? 

(实体 ) 认证 
一 ~ 对 等 实体 认证 (ISO 7498 ) 
一 密 钥 建立 7 ee 
Z maa 密 钥 一 致 


密 钥 确认 
显 式 密 钥 认证 





一 > 实体 认证 (ISO 9798-2 ) 
tone 对 方 失效 探测 


图 12-1 认证 和 密 钥 建立 的 术语 


12.3 密 钥 建立 协议 


为 其 他 协议 使 用 而 建立 密 钥 的 密码 协议 称 为 密 钥 建立 协议 。 今 天 ， 研究 文献 提供 了 对 这 些 
协议 的 更 广泛 的 选择 。 我 们 选择 下 面 的 这 些 协 议 来 阐述 重要 的 设计 技术 。 


12.3.1 认证 密 钥 交换 协议 
在 我 们 的 第 一 个 协议 中 ，AKEP2( 认 证 密 钥 交换 协议 2; Bellare and Rogaway, 1994), FA“ BE 
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价 的 ” 哈 希 函数 代替 加 密 ， 并 且 不 依赖 于 TIP。 两 个 主角 4 和 B 共享 两 个 长 期 的 对 称 密 钥 KK 和 
K'， 并 在 各 个 协议 中 运行 产生 最 新 的 随机 数 ( 序 列 号 ) ， 分 别 是 n, 和 n,。 该 协议 使 用 一 个 密 钥 哈 
45 PRX ( MAC) h, 和 一 个 密 钥 单 向 函数 h'eo AKEP2 是 一 个 三 步 协 议 。 

(1)A>B: n, 

(2)B—A: B, A, n,, n,, hg(B, A, n,, n,) 

(3)A—>B: A, n,, hi(A, n,) 

在 第 一 步 ，A 发 送 一 个 质询 n,。 在 第 二 步 中 ,8B 用 hr.(B8，A，n。，n,) 回 应 并 且 发 送 自己 的 
质询 n,。 共 享 密 钥 是 k= ko。 在 第 三 步 中 ，4 对 此 质询 回应 h,(A,n,). AKEP2 提供 了 相互 
的 实体 认证 和 ( 隐 式 ) 密 钥 认证 。 


12.3.2 Diffie - Hellman 协议 


Diffie- Hellman 协议 (1976) 是 一 个 密 钥 一 致 协议 。 主 角 4 和 8 预先 不 共享 一 个 密 钥 。 他 们 选 
择 一 个 大 的 可 适当 选择 的 素数 p 和 一 个 以 p 为 模 的 高 阶 元 素 8。 主 角 4 选择 一 个 随机 数 a 并且 发 
送 y, =g" mod p 给 B, Ef B 选择 一 个 随机 数 b， 并 且 发 送 y, =e" mod p 给 4， 再 计算 yeo Wal 
Yy A 使 用 它 自己 秘密 的 a 来 计算 兴 。 这 是 因为 

y=8"”=8"=y 

参与 双方 都 共享 密 钥 g” mod p。 这 个 协议 的 安全 性 取决 于 离散 对 数 问题 (参见 11.2 FF) BE 
度 。 一 个 能 够 计算 离散 对 数 的 攻击 者 可 以 从 8" mod p 和 g’ mod p 中 获得 < 和 b。Diffie- Hellman 
协议 的 安全 性 是 否 同等 于 离散 对 数 问题 的 安全 性 目前 还 不 清楚 。 

1. man- in- middle 攻击 

还 剩 下 一 个 细小 的 问题 。 任 何 参与 方 都 不 知道 自己 是 与 谁 共享 秘密 的 。 这 个 问题 可 能 被 处 
F man- in- middle 攻击 模式 中 的 攻击 者 M 利用 。 攻 击 者 将 自己 插入 4 和 8 的 通信 路 径 之 上 ， 当 A4 
发 起 一 个 协议 运行 时 回复 4， 并 且 在 同一 时 间 ，M 假扮 4， 发 起 和 8B 的 协议 运行 (图 12-2) 。 主 角 
A 和 8B 可 能 认为 它们 已 建立 了 一 个 共享 密 钥 ,但 实际 上 是 M 和 4 共享 密 钥 g”mod p, MBHE 
Ae” mod p， 它 扮演 中 继 站 的 角色 ， 能 读 取 所 有 A 和 8 之 间 的 信息 。 


g“mod p gmodp 


g mod p g mod p 
12-2 ”运行 Diffie- Hellman 协议 下 的 man- in- the- middle 攻击 


2. station- to- station 协议 

为 了 确保 Diffie-Hellman 协议 的 安全 性 ， 必 须 添加 认证 。station- to- station 协议 (STS ) (Diffie, 
van Oorschot and Wiener，1992 ) 按 如 下 方式 执行 。 除 了 Diffie- Hellman 交换 建立 了 一 个 共享 会 话 
ZK: =g” mod p 以 外 ， 协议 还 使 用 加 密 算法 和 签名 算法 。 未 指定 专门 的 算法 。 在 下 面 的 描述 
H, S, 和 5, BAM BHEZ BHA, sS, 和 sS, 表示 在 这 些 密 钥 下 产生 的 签名 。 协 议 中 的 步骤 
如 下 : 

(1)A—B: g“ 

(2)B—A: g’, eK(sS,(8’, 8°)) 

(3)A—B: eK(sS,(8", 8 )) 

在 第 一 步 中 ，A 如 同 以 前 一 样 发 起 一 个 Diffie- Hellman 密 钥 的 交换 过 程 。 收 到 g 后 ，B 选择 
一 个 随机 数 b 并 计算 出 会 话 密 钥 KK:，= g”mod p。 第 二 步 之 后 ，4 能 够 计算 Diffie- Hellman HH 
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交换 的 一 部 分 并 且 得 到 天 ， 然 后 解密 下 的 消息 的 第 二 部 分 ,核实 下 的 签名 。 在 最 后 一 条 消息 之 


后 ， 能 够 解密 和 核实 4 MEZ. STS 是 一 个 密 钥 一 致 协议 ， 此 协议 能 够 提供 相互 的 实体 认证 和 
显 式 的 密 钥 认证 。 


12.3.3 Needham- Schroeder 协议 


Needham-Schroeder 协议 (1978) 是 一 个 密 钥 传输 协议 。 两 个 参与 方 4 和 B 从 一 个 服务 器 $ 中 
获得 会 话 密 钥 。 两 个 主角 预先 与 服务 器 共享 一 个 密 钥 。 采 用 对 称 加 密 器 进行 加 密 。 在 消息 中 包含 
序列 号 ( 随机 质询 ) 以 防止 重 放 攻 击 。 在 协议 描述 中 用 到 的 约定 如 下 : 

eK, 由 4 和 3 共享 的 一 个 密 钥 。 

eK: 由 B 和 5 共享 的 一 个 密 钥 。 

eK, 在 A 和 B 之 间 使 用 的 、 由 5 创建 的 一 个 会 话 密 钥 。 

n, 分 别 由 4 和 BB 产生 的 序列 号 。 

图 12-3 显示 了 当 实 体 4 从 服务 器 5S 中 请 求 一 个 用 于 和 B 
交流 的 会 话 密 钥 玉 。 时 产生 的 步骤 。 在 这 个 协议 的 前 三 个 步骤 
H, 4 从 3 中 获得 了 会 话 密 钥 ， 并 将 密 钥 传 送 给 有。 通过 核实 
在 服务 器 信息 中 返回 的 nonce n,, A 能 够 确认 这 个 会 话 密 钥 在 
回应 它 最 近 的 请 求 时 已 经 发 送出 去 ， 而 并 不 是 前 面 一 个 协议 运 
行 中 的 重 放 。 在 最 后 两 步 中 ，B 验证 了 4 当前 在 使 用 同样 的 会 
话 密 铀 。 在 第 4 步 和 第 5 步 中 ，A4 执行 了 B 的 一 个 单方 实体 图 123 Needham- Schroeder 协议 
认证 。 中 的 信息 流程 图 

(1)A4_»5: A, B, n, 

(2)S>A: eK,(n,, B, Ky, eK,,(Ks, A)) 

(3) AB; eK,,(K,,, A) 

(4) BA; eK,,(n,) 

(5)A—B; eK,,(n, -1) 

3. Denning- Sacco 攻击 

如 果 只 考虑 单个 协议 运行 ， 并 且 长 期 密 钥 KA K,. 未 被 泄漏 过 ， 那 么 在 这 种 标准 的 假设 下 ， 
Needham- Schroeder 协议 实现 了 自己 的 目标 。PDenning and Sacco( 1981) 发 现 了 一 个 重 放 攻 击 (re- 
play attack) ， 即 敌 方 M 假扮 4 重新 使 用 一 个 已 泄漏 的 会 话 密 钥 Ke 。 对 手 在 协议 的 第 3 步 开始 行 
动 并 且 在 建立 好 会 话 密 钥 时 ， 向 B 重 放 来 自 协议 运行 的 第 三 方 消息 。B 解密 消息 并 且 重新 使 用 已 
泄漏 的 会 话 密 钥 : 

(3)M—B: eK,.(K,,, A) 

(4)BoM: eK,,(n',) 

(5)M—B: eK,,(n',-1) 

这 是 一 个 已 知 的 密 铀 攻击 (known key attack) ， 该 攻击 使 用 一 个 已 泄漏 的 旧 会 话 密 钥 来 泄漏 
一 个 以 后 的 会 话 。 至 于 8B，Needham- Schroeder 都 不 会 提供 密 钥 更 新 。 


(从 一 个 参与 方 的 观点 来 看 ) 密 钥 如 果 能 够 保证 是 全 新 的 ， 那 么 它 就 是 新 鲜 的 (Menezes， 
van Oorschot and Vanstone, 1997)。 


密 钥 更 新 有 助 于 阻止 重 放 攻 击 。 
4. 完美 的 前 向 保密 
当 分 析 协 议 的 时 候 ， 将 过 去 的 会 话 密 钥 的 泄漏 与 长 期 密 钥 的 泄漏 区 别 对 待 ， 这 样 比较 好 。 当 
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长 期 密 钥 泄密 时 ， 就 不 能 再 保护 以 后 的 会 话 了 。 然 而 ， 我 们 仍然 希望 过 去 的 会 话 保持 安全 性 。 如 
果 会 话 密 钥 或 者 长 期 密 钥 的 泄密 不 会 泄漏 过 去 的 会 话 密 钥 ， 那 么 这 个 协议 就 达到 了 完美 的 前 向 
保密 (perfect forward secrecy)。 术 语 “ 完 美的 前 向 保密 ”表示 旧 的 会 话 密 钥 的 秘密 会 一 直 延 续 
使 用 。 


12.3.4 ”基于 口令 的 password- based 协议 


在 Needham- Schroeder 协议 中 ， 当 客户 和 服务 器 发 起 一 个 协议 运行 时 ， 它 们 就 已 共享 了 密 
钥 。 因 此 ， 两 个 系统 都 必须 配置 成 可 安全 存储 密 钥 的 形式 。 如 果 客 户 端 是 经 由 一 个 “不 可 信 ” 的 
装置 访问 服务 器 的 一 个 人 ， 那 么 我 们 只 能 依赖 用 户 能 记 住 的 共享 秘密 ， 即 ， 我 们 又 回 到 了 有 关口 
令 的 问题 上 来 。 然 后 ， 我 们 用 一 个 口令 P 来 加 密 一 个 随机 产生 的 会 话 密 钥 KK,， 然 后 用 这 个 会 话 
密 钥 来 加 密 以 后 的 数据 : 

(1)A—B: eP(K.) 

(2)B—A: ek,( 数 据 ) 

这 个 本 地 协议 有 一 个 问题 ， 它 很 容易 受到 离线 字典 攻击 。 攻 击 者 会 猜测 口令 P， 解 密 第 一 个 
信息 并 且 得 到 一 个 候选 的 会 话 密 钥 K,'， 这 个 密 钥 用 来 解密 第 二 个 消息 。 当 出 现 了 一 些 有 意义 的 
文本 时 ,口令 可 能 已 经 被 正确 破译 了 。 

加 密 密 钥 交换 ( Encrypted Key Exchange，EKE) 协 议 可 以 避免 这 个 问题 ( Bellovin and Merritt, 
1992) 。 它 使 用 对 称 加密 算 法 用 口令 P 作为 密 钥 对 数据 进行 加 密 ， 并 且 也 用 到 了 一 个 公 钥 的 加 密 
系统 。 在 协议 运行 中 ， 主 角 4 产生 了 一 个 随机 公 钥 / 私 钥 对 K,，K,'。 在 第 一 个 消息 中 ，4 发 送 
在 忆 下 加 密 的 (对 称 加 密 ) 公 钥 K, 给 B。 在 第 二 个 消息 中 ，B 将 随机 产生 的 会 话 密 钥 K, 发送 给 
4， 首 先 在 K,( 公 和 钥 加 密 ) 下 加 密 ， 然 后 在 P 下 加 密 ( 对 称 加 密 )。 

(1)A—B: eP(K,) 

(2)B—A: eP(eK,(K,)) 

作为 练习 ， 请 说 明 这 个 协议 不 易 受 到 离线 字典 攻击 。 针 对 每 一 个 协议 运行 产生 新 的 密 钥 对 
并 不 只 是 浅显 的 练习 。 下 一 步 的 工作 是 设计 更 有 效 的 基于 口令 的 密 钥 建立 协议 和 对 它们 的 形式 
化 分 析 ; 你 可 以 参看 Halevi and Krawczyk( 1999) 的 著作 。 


12.4 Kerberos 


Kerberos 系统 是 美国 麻 省 理工 学 院 (MIT) 在 20 世纪 80 年代 的 雅典 娜 (Athena) 项 目 中 开发 出 
来 的 。 雅 典 娜 为 MIT 的 校园 学 生 提 供 了 计算 资源 ， 但 是 它 的 范围 已 经 超出 了 MIT 的 校园 范围 ， 
包括 了 一 些 附 加 的 管理 功能 ， 比 如 财会 功能 。 由 Kerberos 声明 的 危险 和 威胁 在 Miller et al. 
(1987) 的 著作 中 已 有 描述 : 


这 种 环境 不 适合 敏感 数据 或 者 高 风险 的 操作 ， 如 银行 事务 处 理 、 机 密 的 政府 数据 、 学 生 

成 绩 、 对 危险 实验 的 控制 ， 等 等 。 这 些 风 险 主 要 有 : 不 能 控制 非 授 权 的 当事人 使 用 资 

源 、 对 系统 或 用 户 资源 完整 性 的 破坏 ， 以 及 大 规模 地 侵犯 个 人 隐私 ， 比 如 偶然 地 浏览 所 

有 的 个 人 文件 。 

自 此 ，Kerberos 被 广泛 地 接受 了 。 有 几 个 工业 标准 已 经 采用 Kerberos 用 于 分 布 式 系统 的 认 
证 ， 值 得 注意 的 是 RFC 1510。 在 分 布 式 系统 中 ，Kerberos 按 服 务 认 证 客户 (client) 。 认 证 是 围绕 
票据 (ticket) 和 集中 式 安全 服务 器 的 概念 建立 的 。 

Kerberos 来 自 于 Needham- Schroeder 密 钥 交换 协议 (参见 12.3.3 节 )。 像 DES 这 样 的 对 称 密 
码 系统 常常 被 用 来 加 密 。 用 户 名 和 口令 用 来 认证 用 户 , 但 是 口 令 不 能 通过 网 络 进行 传输 。RFC 





132 #12 





1510 给 出 了 Kerberos 版 本 5 的 一 个 详细 规范 说 明 ， 包 括 当 一 个 协议 运行 不 能 继续 时 发 出 的 出 错 
信息 等 。 下 面 的 简单 描述 省 格 了 在 Kerberos 消息 中 的 一 些 数据 域 ， 并 且 仅 仅 处 理 了 协议 运行 成 功 
完成 时 的 情形 。 

Kerberos 涉及 了 在 客户 机 C 上 的 用 户 4、 服 务 器 巨 和 认证 服务 器 So AP A 和 认证 服务 器 5 
共享 一 个 密 钥 ,,。 这 个 密 钥 是 从 用 户 的 口令 通过 单 向 函数 计算 得 到 的 。K,, 是 一 个 被 和 5S 共享 
的 密 钥 ,天 ,是 由 S 创建 的 在 4 和 8 之 间 使 用 的 会 话 密 乌 ，n, 是 由 4 产生 的 noce, T, 是 关于 A 
时 钟 的 时 间 截 。 对 于 B 使 用 的 票据 是 tickets = eK,,(K,,，A，,，L)， 其 中 工 是 票据 的 生命 期 (使 用 期 
限 ) 。 其 核心 工作 如 下 。 

(1)A—S: A, B, n, 

(2)S—A: eK,,(K,,, n,, L, B), ticket, 

(3)A—B: ticket,, eK,,(A, T,) 

(4)B—A: eK,,(T,) 

为 了 开始 一 次 会 话 ， 用 户 4 通过 输入 用 户 名 和 口令 在 客户 机 C 上 登录 ， 他 输入 用 户 名 和 口 
令 。 客 户 机 将 4 的 认证 请 求 发 送 给 B 和 5。 第 一 条 消息 包含 了 4 的 标识 、 服 务 器 的 名 字 和 nonce, 
所 有 都 以 明文 形式 发 送 。 在 第 二 步 中 ,5 在 自己 的 数据 库 中 查询 A 的 密 钥 Ke (如 果 5 不 知道 4， 
协议 将 停止 ) ， 产 生 会 话 密 钥 Ka AMA tickets。S 以 在 ,下 加 密 的 数据 结构 形式 将 会 话 密 钥 发 
送 给 A， 并 将 票据 发 送 给 A。 在 客户 端 ， 密 钥 KAA 的 口令 得 到 ， 并 且 用 于 解密 回复 的 第 一 部 
分 内 容 。A 得 到 会 话 密 钥 KK,, 并 核实 nonce。 在 第 三 步 中 ，A 发 送 票 据 和 认证 符 eK,,(A，T,) 给 Bo 
B 用 K, 解密 票据 ， 并 且 获 得 会 话 密 钥 K,,。B 核对 票据 里 面 的 标识 符号 是 否 和 认证 符 匹 配 ， 票据 
是 否 过 期 ， 时 间 戳 是否 有 效 。 时 间 惟 的 有 效 期 必须 考虑 4 和 B 的 当地 时 钟 的 偏差 。 在 第 四 步 中 ， 
也 将 在 会 话 密 钥 & ,下 加 密 的 时 间 戳 T, 返回 给 4。 

Kerberos 使 用 几 个 票据 授予 服务 器 (ticket- granting 
server，TGS ) 与 一 个 认证 服务 器 联合 部 署 而 成 。Kerberos 
认证 服务 器 (Kerberos Authentication Server，KAS ) 认证 主 
角 登 录 并 发 放 票 据 ， 票 据 通常 对 一 个 登录 会 话 是 有 效 的 ， 
并 且 能 够 从 TGS 获得 其 他 票据 。 认 证 服务 器 有 时 也 叫做 
密 钥 分 发 中 心 (Key Distribution Center, KDC), TGS 发 放 
赋予 主角 访问 网 络 服务 的 所 需 认证 的 票据 。 图 12-4 显示 
了 在 包含 一 个 KAS 和 一 个 TGS 的 协议 运行 时 所 产生 的 步 图 12-4 Kerberos 认证 协议 中 的 消息 流 
W. XE, K ,是 KAS 创建 的 用 于 4 和 TGS 之 间 的 会 话 密 钢 。 这 里 有 第 二 个 noncen'。 MAY AR 
T'o L 和 三 是 两 张 票据 的 生命 期 。 票 据 授 予 票据 (ticket- granting ticket, TGT) ticket, ros 构造 为 ; 

ticket, ros =€Kyg,(Kaigss Ay bn) 

其 中 eK 是 由 KAS 和 TGS 共享 的 密 钥 。 ° 

(1)A—KAS: A, TGS, n, 

(2) KAS—A: eK,,( Kaus» as Lis TGS), ticket, res 

(3)A->TGS: ticket, rs, €K (A, T,), B, n'y 

(4)TGS—A: eK,,,,.(Ky, N'as L,, B), ticket, 

(5)A—B: ticket,, eK,,(A, T’,) 

(6)B—A: eK,,(T’,) 
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12.4.1 领域 


KAS 是 Kerberos 领域 的 核心 。 一 个 Kerberos 领域 (realm) 就 是 一 个 单一 的 管理 范围 ， 控 制 着 
对 一 个 服务 器 集合 的 访问 。 为 了 准备 和 运行 Kerberos， 主 角 必 须 向 KAS 注册 ，TGS 必须 接收 访 
问 控制 信息 ， 所 有 需要 的 密 钥 必须 由 安全 管理 员 存 放 在 适当 的 位 置 。 

Kerberos 具有 集中 式 安全 系统 所 有 的 优点 。 单 个 安全 策略 只 能 由 有 限 数量 的 安全 服务 器 实 
施 。 因 此 ， 检 查 系 统 安装 时 是 否 遵守 了 安全 策略 以 及 在 需要 的 时 候 作 某 些 变更 ， 还 是 相当 容 
易 的 。 

一 个 领域 常常 对 应 一 个 单一 的 组 织 。 为 了 在 其 他 组 织 中 方便 地 访问 服务 器 ， 我 们 需要 内 部 
领域 的 认证 。 这 需要 认证 服务 器 在 不 同 领域 中 有 “信任 关系 ”。 在 这 种 情况 下 ,“ 信 任 ” 是 一 个 可 
共享 的 密 钥 。 在 组 织 间 ， 密 钥 共享 建立 在 契约 协议 上 。 信 任 是 可 传递 的 吗 ? 如 果 在 领域 R AR, 
之 间 有 信任 , TER, AR, AARE, BAER 中 的 客户 端 有 权 连 接 到 领域 R 的 服务 器 吗 ? 这 
里 没有 一 个 统一 的 答案 。 输 出 结果 取决 于 领域 之 间 的 优先 协议 。 

比如 ， 试 考虑 领域 R 中 的 用 户 4， 它 需要 从 自己 的 认证 服务 器 KAS, 得 到 一 个 到 领域 R, 中 
的 服务 器 B 的 票据 。 用 户 或 者 一 些 当 事 人 服务 机 构 发 现 ，KAS, 与 KAS, 有 一 个 可 信任 的 关系 ， 
KAS, 和 KAS, 有 一 个 可 信任 的 关系 ， 这 些 信 任 关系 是 可 传递 的 。 应 4 RER, KAS, 为 领域 R, 
产生 一 个 TGT， 并 将 这 个 TGT 连同 4 的 要 求 一 起 传送 给 KAS,。 依 次 地 ，KAS, 为 领域 R 产生 一 
个 TGT， 并且 将 这 个 TCT 连同 A 的 要 求 一 起 发 送 给 KAS, KAS, 为 B 创建 票据 ， 并 将 票据 发 送 
给 A。 当 请 求 从 B 获得 一 项 服务 的 时 候 ，A 所 登录 的 客户 端 出 示 这 张 票据 。 


12. 4.2 Kerberos 和 Windows 


Kerberos 已 经 成 为 Windows 中 备 选 的 认证 协议 。Windows 域 对 应 于 Kerberos 领域 。 域 控制 者 
扮演 KDC 的 角色 。 运 行 Kerberos 的 主体 可 能 是 用 户 也 可 能 是 机 器 。 在 Windows 中 ， 认 证 是 随后 
访问 控制 决策 的 基础 。 在 Windows 中 ， 访 问 控制 的 主角 是 SD。( 在 此 ， 我 们 最 终 发 现 * 主角” 的 
两 个 定义 之 间 有 冲突 。) 因 此 ， 一 个 主角 的 SD 必须 存储 在 票据 中 。Kerberos 票据 ， 按 照 在 RFC 
1510 中 的 定义 ， 包 含有 用 作客 户 端 名 字 的 强制 性 域 的 客户 端 名 cname 和 一 个 可 选择 的 认证 数据 
域 。 在 Windows 中 ，cname 保存 有 主角 名 字 和 领域 (例如 diego@ tuhh. de) ， 认 证 数据 保存 有 组 
SID, Microsoft 公司 实现 Kerberos 的 细节 可 以 在 Brown( 2002) 的 著作 中 找到 。 


12. 4.3 Bik 


在 分 布 式 系统 中 ,顾名思义 ， 受 控 调 用 有 了 新 含义 。 用 户 可 以 在 本 地 节点 登录 ， 然 后 在 远程 
节点 上 执行 一 个 程序 。 为 了 获得 对 远程 节点 上 资源 的 访问 ， 执 行 这 个 程序 将 需要 相关 的 访问 权 
限 。 在 典型 情况 下 ， 程 序 将 被 赋予 用 户 的 访问 权限 ， 然 后 以 这 个 权限 在 远程 节点 上 运行 。 这 个 过 
程 称 为 委派 (delegation)。 

在 远程 节点 上 的 程序 ， 现 在 以 用 户 委 派 的 所 有 访问 权限 运行 。 在 一 个 分 布 式 系统 中 ， 用 户 可 
能 不 满意 把 它 所 有 的 权限 交 给 一 个 没有 什么 控制 权 的 节点 。 如 果 远 程 节点 上 存在 弱 保 护 ， 攻 击 
者 就 可 能 摄取 用 户 的 访问 权限 ， 并 且 为 了 一 些 非法 的 目的 使 用 这 些 权限 。 因 此 ， 你 可 能 更 喜欢 这 
样 的 系统 : 在 系统 中 用 户 自己 可 以 控制 究竟 委派 哪些 的 权限 ， 以 及 能 够 有 问 责 性 机 制 来 监控 委 
派 的 访问 权限 的 使 用 。 

Kerberos 在 Windows 中 支持 不 同 模式 的 委派 。 当 解释 这 些 模型 的 时 候 ， 我 们 可 沿袭 惯例 ， 称 
参与 者 为 Alice 和 Bob。 所 以 ， 当 Alice 需要 Bob 提供 服务 时 ，Bob 得 有 对 她 服务 的 访问 控制 权 
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限 ， 当 她 预先 知道 Bob ETA, MS ACH ARS GR RE proxy ticket), 并且 
把 这 些 票 据 和 相应 的 会 话 密 钥 交 给 Bob。 这 些 服务 票据 标注 为 代理 票据 ， 而 且 应 该 包含 限制 Bob 
怎样 使 用 Alice 信任 的 专门 认证 ， 例 如 ， 说 明 允 许 Bob 打印 文件 名 。 如 果 Alice 预先 不 知道 Bob 
将 需要 什么 ， 她 可 为 Bob 申请 一 个 前 向 (forwarded)TGT， 并 且 将 这 张 票据 和 相应 的 会 话 密 钥 传 
IŠ% Bob, Alice 将 她 的 身份 委派 给 Bob, Bob 现在 便 可 以 以 她 的 名 义 申请 票据 。Brown(2000 ) 著 
作 中 称 这 一 “快速 、 松 散 的 方式 为 委派 信任 ”。 主 体 被 命名 为 OK- AS- DELEGATE 来 管理 信任 的 
委派 。 

委派 身份 是 个 好 主意 吗 ? 在 主角 的 这 一 层 是 相当 合理 的 。SID 给 予 访问 控制 权限 ， 代 表 用 户 
运行 的 进程 不 能 频繁 地 回访 用 户 以 及 询问 将 SID 赋予 另 一 个 进程 是 否 合适 。 然 而 ， 当 一 个 用 户 
Alice 将 她 的 身份 委派 给 另 一 个 用 户 时 ， 就 相当 于 已 将 她 的 密码 泄漏 出 去 (因为 此 时 转交 的 票据 是 
有 效 的 ) 。 共 享 密码 通常 是 不 允许 的 ， 并 且 违 反 了 Alice 的 共同 安全 策略 。 

来 自 操作 系统 安全 的 概念 可 能 在 应 用 层 并 不 总 是 那么 适当 。 调 用 两 个 用 户 和 进程 Alice 和 进 
程 Bob 都 不 会 增加 透明 度 。 一 般 来 说 ， 类 似 “ Alice 与 Bob 会 谈 " BE“ Bob 核实 Alice” 的 拟 喻 很 容 
易 引 起 误导 。 在 计算 机 安全 中 ， 实 体 是 计算 机 ， 而 不 是 人 的 活动 ， 它 们 通过 网 络 发 送 消息 ， 它 们 
并 不 进行 交流 ， 你 必须 决定 核实 4 的 身份 意味 着 什么 。 很 明显 在 计算 机 之 间 没 有 视觉 接触 。 

经 验 教训 

Alice 和 Bob 是 一 个 美丽 的 陷阱 。 他 们 允许 你 讲述 美好 的 故事 ,但 他 们 也 会 误导 你 。 


12. 4.4 撤销 


如 何 撤销 主角 的 访问 权限 呢 ? KAS 和 TGS 的 系统 管理 员 必 须 更 新 他 们 的 数据 库 ， 以 便 访问 
权限 对 主角 来 说 不 再 有 效 。 这 个 访问 权限 对 下 一 次 的 会 话 ， 即 这 个 主角 再 次 登录 系统 或 者 从 
TGS 请 求 一 张 票据 时 无 效 。 而 这 个 主角 已 经 拥有 的 票据 在 期 满 以 前 都 有 效 。 例 如 ，KAS 票据 通 
常 有 大 约 一 天 的 生存 期 。 这 是 TOCTTOU 问题 的 另外 一 个 例子 。 

现在 ， 你 不 得 不 面临 一 个 在 方便 和 安全 两 个 方面 找寻 平衡 的 问题 。 如 果 TGS 给 出 了 一 张 失 
效 期 很 晚 的 票据 ， 主 角 则 不 需要 频繁 访问 TGS。 同 时 ，TGS 偶尔 离线 对 用 户 方面 也 没有 什么 影 
响 。 然 而 ， 访 问 权 限 的 撤销 将 有 一 个 较 长 的 延 时 影响 。 相 反 如 果 TGS 提供 的 票据 具有 一 个 较 短 
的 生命 期 ， 主 角 必须 更 为 经 常 地 更 新 它们 的 票据 ， 安 全 服务 器 的 可 用 性 对 于 系统 性 能 来 说 也 变 
得 越 来 越 重要 了 。 


12. 4.5 小 结 


为 了 全 面 评定 Kerberos， 你 就 必须 跳出 分 析 认 证 协议 和 基础 加 密 算法 的 强度 轿子。 必须 还 要 
考察 它 的 非 密码 安全 特性 。 下 面 列 出 了 需要 考察 的 部 分 要 点 。 

。 消息 的 及 时 性 通过 检查 时 间 惟 来 确认 。 因 此 ， 在 整个 系统 中 要 求 合 理 的 时 钟 同 步 ， 而 且 时 

钟 自身 必须 加 以 保护 ， 以 防止 攻击 。 安 全 时 钟 同步 自身 也 要 求 认证 。 

。 时 间 惟 检查 允许 一 些 时 钟 有 偏差 。 典 型 的 五 分 钟 接收 窗口 相当 大 ， 且 比较 容易 遭受 重 放 

攻击 。 

。 服务 器 必须 在 线 。KAS 需要 在 线 登 录 ; 请 求 票据 时 也 需要 TGS。 如 在 上 面 讨论 的 ，TGS 

这 种 可 使 用 性 的 要 求 可 能 放宽 。 

。 会 话 密 钥 (用 于 对 称 加 密 器 ) 由 Kerberos 服务 器 (认证 服务 器 和 票据 授予 服务 器 ) 生 成 。 当 

这 个 会 话 密 钥 在 主角 之 间 的 后 继 通 信 中 使 用 时 ， 对 服务 器 的 信任 必须 包含 以 下 信任 : 服务 

器 将 不 会 滥用 它们 的 能 力 去 窃听 。 
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。 口令 猜测 和 口令 欺骗 攻击 是 可 能 的 (Wu，1999)。 

。 密 钥 和 票据 保存 在 客户 的 机 器 上 。 因 此 ， 你 依赖 于 这 个 节点 上 的 保护 机 制 去 维护 Kerberos 
的 安全 性 。 只 要 Kerberos 用 户 工作 在 简单 终端 FE， 这 就 不 是 个 大 问题 。 一 旦 用 户 在 PC 机 
或 者 在 多 用 户 工作 站 上 运行 Kerberos， 那 么 情况 就 发 生 了 改变 。 

。 初始 化 的 客户 要 求 是 不 会 被 认证 的 。 一 个 攻击 者 发 送 一 个 欺骗 性 的 认证 要 求 将 得 到 票据 。 
这 可 以 构成 一 个 对 认证 服务 器 的 拒绝 服务 攻击 ,或 者 算是 一 个 为 密码 破译 攻击 收集 材料 
的 企图 。 作 为 对 策 ， 服 务 器 可 以 要 求 用 户 在 产生 任何 票据 之 前 的 每 个 阶段 均 进行 认证 。 

此 外 ， 将 Kerberos 执行 的 安全 性 中 与 协议 自身 的 安全 性 区 分 开 来 是 非常 重要 的 。 比 如 ， 据 说 

Kerbero 第 4 版 用 一 个 弱 的 随机 数 生成 器 来 产生 密 钥 ， 这 样 就 可 以 很 容易 通过 暴力 搜索 找到 密 钥 。 


12.5 公 和 钥 基 础 设施 


STS 协议 的 描述 忽略 了 一 个 很 重要 的 细节 。4 和 B 怎么 知道 它们 用 来 检查 签名 的 验证 密 钥 确 
实 与 正确 的 参与 者 相符 合 。 这 是 一 个 在 公共 密码 学 中 至 关 重 要 的 问题 。 我 们 很 少 在 密 钥 之 间 运 
行 协议 ， 而 是 运行 于 那些 在 更 高 的 协议 层 有 实 义 名 字 ( 身 份 ) 的 主体 之 间 ， 例 如 ， 客 户 的 名 字 或 
服务 器 域名 系统 的 名 字 。 这 里 必须 有 一 个 可 信任 的 连接 身份 和 密 钥 的 资源 。 注 意 ， 有 了 对 称 加 密 
器 ， 参 与 者 4 和 B 常常 信赖 服务 器 来 创建 这 个 连接 。 


12. 5.1 证 书 


Diffie and Hellman( 1976) 设 想 ， 有 这 样 一 个 公共 地 址 目录 ， 在 那里 你 可 以 查询 用 户 的 公共 密 
码 ， 就 像 在 电话 薄 里 一 样 。1978 年 ， 在 一 个 学 生 的 项 目 中 ，Kohnfelder 将 这 样 一 个 目录 用 作 一 组 
数字 签名 的 数据 记录 ， 记 录 中 含有 名 字 和 公 钥 。 他 将 这 些 记录 命名 为 证 书 (certificate ) 。 证 书 最 
初 都 有 单个 的 函数 ， 并 绑 定名 字 和 密 钥 。 今 天 ， 这 个 术语 被 更 广泛 地 应 用 开 来 ， 你 可 以 看 到 像 下 
面 这 样 的 解释 。 

EP: 授权 给 主体 的 有 符号 的 工具 。 它 至 少 包括 一 个 发 行者 和 一 个 主体 。 它 包含 有 效 的 

条 件 、 认 证 和 委派 信息 (Ellison et al , 1999) 。 

依照 这 种 思想 ， 我 们 可 以 将 证 书 定义 为 数字 签名 文档 ， 该 文档 将 一 个 主体 绑 定 到 一 些 其 他 
信息 上 。 主 体 可 以 是 人 、 密 钥 、 名 字 等 。 身 份 ( 卫 ) 证 书 绑 定名 字 和 密 铀 。 有 时 这 仍然 是 对 术语 
证 书 的 默认 解释 。 属 性 证 书 绑 定 名 字 与 授权 认证 。 授 权证 书 绑 定 密 钥 与 授权 认证 。 


12. 5.2 证 书 权威 


在 主体 与 密 钥 之 间 绑 定 ， 或 是 与 一 些 其 他 信息 的 绑 定 ， 是 由 发 行 (签署 ) 证 书 的 参与 者 建立 
的 。 这 个 参与 者 就 被 认为 是 发 行者 。 证 书 权 威 (Certification Authority, CA) 是 发 行者 的 另 一 个 名 
字 。 当 你 为 个 人 使 用 而 发 行 证 书 的 时 候 ， 你 就 是 一 个 CA。 有 时 ，CA 仅 指 发 行 亚 证 书 的 组 织 。 
应 用 决定 了 CA 必须 满足 的 技术 上 和 程序 上 的 信任 需求 。CA 必须 保护 它 自己 的 私 钥 。 它 可 能 必 
须 核实 他 (她 ) 所 声称 的 主体 和 证 书 中 的 属性 是 否 正确 。 检 查 可 能 在 完全 不 同 的 级 别 上 进行 。 
VeriSign 证 书 级 别 就 是 这 样 的 一 个 例子 。 对 大 多 数 基 本 级 别 ，CA 只 需 检 查 主 体 的 名 字 是 否 唯一 。 
对 最 高 级 别 ， 主 体 则 必须 带 着 政府 认可 的 身份 文件 亲自 现 身 。 这 些 检查 中 的 一 部 分 可 能 由 注册 
权威 (Registration Authority ，RA) 执行 ， 而 且 CA 的 主要 任务 是 发 行 证 书 。 

用 公 钥 基础 设施 (Public Key Infrastructure, PKI) 描述 发 行 和 管理 证 书 的 体系 不 怎么 严密 。 不 
同 资源 决定 不 同 的 PKI， 它 有 可 能 是 : 

。 管理 数字 证 书 的 软件 。 
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。 集 提供 安全 保障 的 硬件 、 软 件 、 策 略 和 人 为 一 体 的 系统 。 

© 保障 网 络 安全 的 技术 。 

。 数字 ID 卡 的 全 球 系 统 。 

这 里 没有 进行 精确 的 定义 。 任 何 时 候 你 遇 到 一 个 所 谓 的 PKI， 在 进一步 下 结论 之 前 ， 你 必须 
建立 起 适合 该 特定 场合 使 用 的 PKI 解释 。 


12.5.3 X. 509/PKIX 证 书 


SR, X. 509 版 本 3 是 采用 PKI 标准 的 最 广泛 的 一 个 版 本 。 最 初 的 ITUT 推荐 版 本 X. 509( 国 
际 标准 化 组 织 ，1997) 是 X. 500 目录 的 一 部 分 (CCITT，1998) ,该 且 录 随后 被 IS 9594-1 RA, 
X. 500 被 打算 作为 一 个 全 球 的 ， 已 命名 的 实体 (如 人 、 计 算 机 、 打 印 机 等 ) 的 分 布 式 数据 库 ， 也 
就 是 全 球 在 线 的 电话 本 。 509 证 书 将 公 钥 (最 初 的 口令 ) 绑 定 到 X. 500 的 路 径 名 (区 分 的 名 字 ) 
来 注释 谁 有 修改 K. 500 地 址 目录 节点 的 许可 。X. 500 与 基于 身份 的 连接 控制 权 相 贱 合 。 

事实 上 ， 所 有 这 些 安全 服务 都 依赖 于 通信 间 彼 此 知道 的 可 靠 的 参与 者 的 身份 ， 即 认证 

(国际 标准 化 组 织 ，1997)。 


在 这 个 超前 于 applet 程序 和 许多 新 的 电子 商务 方案 的 时 代 ， 一 种 不 同 的 存 联 控制 会 更 适当 。 

比 起 先前 的 版 本 ，X. 509 v3 证 书 的 形式 (如 图 12-5) 包 含 了 一 些 扩展 来 增加 适应 性 。 扩 展 被 
标记 为 交界。 如 果 一 个 临界 的 扩展 不 能 被 一 个 执行 程序 执行 ， 这 个 证 书 必须 被 拒绝 。 非 临界 的 扩 
展 可 能 被 忽略 。 临 界 扩展 可 以 被 用 于 规范 证 书 的 使 用 策略 。 















WA (v3) 
序列 号 
签名 算法 ID 
发 行者 名 字 

有 效 期 
主体 名 字 

发 行者 唯一 标识 
主体 唯一 标识 


图 12-5 X509. 3 v3 证 书 格式 


PKIX 是 因特网 X. 509 PKI( Housley et al ，2002 ) 。 它 指定 适当 的 扩展 来 使 X. 509 v3 来 适应 
因特网 。 公 钥 证 书 (public key certificate ，PKC ) 包 含 主体 的 公 钥 和 一 些 其 他 的 信息 。 属 性 证 书 
(AC) 包 含 对 主体 的 属性 集 。 属 性 证 书 由 属性 权威 ( Attribute Authority) 来 发 行 。PKI 是 硬件 ， 软 
件 ， 人 员 ， 策 略 ， 需 要 被 创建 、 管 理 、 存 储 ， 分 发 的 程序 和 撤销 PKC 的 策略 和 程序 的 设置 。 特 
权 管 理 基础 设施 ( Privilege Management Infrastructure, PMI) 是 AC， 和 他 们 所 发 行 的 属性 权威 、 主 
体 、 可 信赖 的 参与 者 及 知识 库 的 集合 。 

X. 509 和 PKIX 是 以 名 字 为 中 心 的 PKI。 为 了 将 密 钥 和 访问 控制 权 相 连 接 ， 你 必须 知道 密 铀 
属于 哪个 主体 。 授 权 属 性 通过 公 钥 证 书 和 属性 证 书 中 的 一 个 共同 的 名 字 来 连接 密 文 密 钥 。 另 一 
个 可 选择 的 是 SPKI， 简 单 公 钥 基础 设施 ( Simple Public Sey Infrastructure; Ellison et al. , 1999) 。 
SPKI 是 以 密 钥 为 中 心 的 PKI。SPKI 证 书 直接 绑 定 密 钥 与 属性 (访问 控制 权 ) 。 

经 验 教训 

像 用 户 身份 一 样 ， 证 书 用 于 两 个 目的 。 它 们 能 够 识别 与 密 文 密 钥 相连 接 的 实体 ， 或 者 它们 能 
够 指定 被 授予 密 文 密 钥 持 有 者 的 访问 控制 权限 (在 没有 揭露 持 有 者 身份 的 情况 下 ) 。 
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12.5.4 证 书 链 


从 技术 上 来 讲 ， 需 要 证 书 核 实数 字 签 名 的 说 法 是 不 正确 的 。 正 确 的 是 需要 验证 密 钥 的 认证 
备份 。 验 证 密 钥 可 以 存储 在 证 书 中 ,但 也 可 以 存储 在 受 保护 的 内 存 中 。 然 而 ， 也 有 系统 要 求 所 有 
验证 密 钥 均 存 储 在 证 书 中 的 。Java 2 的 安全 模型 就 是 一 个 例子 。 

为 了 检查 某 个 证 书 ， 需 要 另 一 个 验证 密 钥 ， 这 个 验证 密 钥 由 一 个 证 书 担保 。 这 就 创建 了 一 个 
证 书 链 。 最 后 ， 你 需要 一 个 根 验 证 密 钥 (root verification key) ， 该 验证 密 钥 的 真实 性 不 能 由 一 个 
证 书 保 证 。 典 型 的 就 是 在 浏览 器 或 邮件 程序 中 安装 的 一 组 根 验 证 密 钥 。 当 你 接收 到 类 似 “ 你 不 信 
任 这 个 证 书 ” 这 样 的 消息 ， 那 么 在 那些 根 验 证 密 钥 中 就 没有 证 书 链 。 在 一 个 证 书 需 要 签名 确认 的 
系统 中 ， 你 可 以 用 自己 签署 的 证 书 来 存储 根 密 钥 。 一 个 自己 签署 的 密 钥 可 以 用 它 自身 包含 的 公 
钥 来 验证 。 

证 书 有 一 定 的 期 限 。 认 为 证 书 过 期 后 就 不 能 再 使 用 是 不 正确 的 。 决 定 该 怎样 处 理 过 期 的 证 
书 是 一 个 策略 决策 。 就 拿 护照 来 说 ， 一 个 欧盟 国家 护照 在 它 有 效 期 过 期 一 年 后 ， 在 欧盟 国家 旅行 
仍然 是 有 效 的 。 当 评价 一 个 证 书 链 的 时 候 ， 主 要 有 两 项 策略 适用 于 期 满 日 期 (或 吊销 ) 的 情况 。 

在 shell 神 型 中 ， 所 有 的 证 书 在 评估 的 时 候 都 必须 有 效 。 如 果 一 个 高 级 别 的 证 书 期 满 或 者 被 吊 
销 ， 所 有 被 其 相应 的 签署 的 证 书 ， 其 相应 的 私 钥 必须 用 一 个 新 的 密 钥 重新 发 行 。 这 个 老 方法 在 SP- 
KI 中 执行 。 当 采用 shell 模型 的 时 候 ， 一 个 CA 应 该 只 在 它 自己 的 证 书 期 满 之 前 发 行 证 书 。 

在 链 模型 中 ， 发 行者 的 证 书 必须 在 证 书 发 行 的 时 候 有 效 。 如 果 一 个 高 级 别 的 证 书 期 满 或 是 
被 吊销 ， 所 有 被 私 钥 签 署 的 证 书 ， 其 相应 的 私 钥 仍 然 有 效 。 这 个 模型 要 求 在 证 书 发 行 的 时 候 ， 建 
立 一 个 可 靠 的 时 间 玲 服务 。 一 个 时 间 扒 认证 (Time Stamp Authority ，TSA) 就 是 一 个 TIP，TTP K 
时 地 为 一 个 特殊 数据 的 瞬时 存在 提供 了 存在 的 证 据 。TSA 不 会 检查 它 所 证 明 的 文件 。TSP， 
PKIX 的 时 间 惟 协议 在 RFC3161 中 有 描述 。 


12.5.5 撤销 


如 果 证 书 相 应 的 私 钥 已 经 泄露 或 是 如 果 那 个 证 书 的 担保 已 失效 ， 那 么 这 个 证 书 可 能 不 得 不 
被 撤销 。 对 此 ，X 509 中 提出 的 方法 为 : 证 书 撤销 清单 ( Certification Revocation List) 按 有 规律 的 
间隔 分 布 或 者 按 需 分 布 。 如 果 在 线 检查 不 可 能 或 者 太 昂贵 ， 那 么 CRL 就 显得 有 意义 了 。 如 果 在 
线 核实 可 行 ， 则 可 以 在 线 询问 CRL。 但 是 当 在 线 核 实 可 行 的 时 候 ， 可 以 在 线 询 问 证 书 身份 ， 此 
时 CRL 可 能 就 变 得 多 余 了 。 相 反 ， 证 书 的 当前 身份 由 像 在 线 证 书 身份 协议 (OCSP，RFC2560) 这 
样 的 协议 进行 查询 。 举 例 来 说 ， 德 国 签名 基础 设施 需要 检查 有 效 证 书 的 实际 清单 。 对 于 撤销 来 
说 ， 短 暂 证 书 是 一 个 选择 。 
12. 5.6 电子 签名 


手写 签名 在 商业 和 法 律 事务 办 理 中 扮演 着 很 重要 的 角色 。( 不 是 因为 它们 不 容易 被 伪造 ， 而 
是 因为 它们 发 送信 号 意图 。) 当 用 电子 方式 执行 这 些 事务 办 理 的 时 候 ， 就 需要 一 个 与 此 相同 的 手 
写 签名 。 数 字 签 名 作为 一 种 解决 方法 被 提出 来 。 然 而 ,数字 签名 仅仅 是 用 于 连接 文件 和 个 人 的 安 
全 服务 。 连 接 文档 和 个 人 的 电子 签名 服务 通常 被 称 作 电 子 签 名 (electronic signature) 。 电 子 签 名 常 
常用 数字 签名 作为 一 个 构建 块 ， 但 没有 它们 也 可 以 执行 。 

人 们 为 了 将 电子 签名 结合 到 法 律 系统 中 已 经 做 了 不 少 努 力 。 一 个 显著 的 例子 就 是 欧盟 电子 
签名 指示 (1999 年 12 月 13 日 关于 电子 签名 的 共同 体 框架 的 1999/93/EC 指令 ) 。 这 个 指令 将 电子 
签名 作为 一 个 技术 核心 词 , 但 是 所 谓 先进 的 电子 签名 事实 上 需要 和 数字 签名 一 起 执行 。 先 进 的 
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电子 签名 由 合格 的 证 书 担保 。 对 认证 服务 商 (CA 等 ) 和 签字 制造 设备 (例如 智能 卡 ) 的 进一步 的 要 
求 出 台 了 。 图 12-6 给 出 了 一 个 安全 电子 签名 服务 及 其 安全 基础 的 组 件 。 





创建 签名 设备 


图 12-6 用 数字 签名 进行 电子 签名 服务 的 组 件 


经 验 教 训 
最 后 ， 密 码 保 护 不 得 不 定位 在 一 个 非 密码 学 的 基础 上 。 


12.6 可 信 计 算 一 证 明 


让 我 们 把 重点 从 人 转 到 机 器 。 如 果 我 们 确切 知道 安装 了 硬件 和 软件 的 哪些 配置 ， 那 可 能 在 
某 些 情况 下 ， 我 们 只 通过 远程 平台 就 能 从 事 交 易 。 我 们 可 能 会 从 远程 平台 上 请 求 获取 一 些 信息 ， 
但 怎么 才能 确定 获得 的 信息 是 正确 的 呢 ? 这 是 可 信 计 算 组 (TCG ) 提出 的 其 中 一 个 问题 。 对 信息 
准确 性 的 担保 过 程 称 为 证 明 (attestation) 。 

所 谓 的 可 信 平 台 模 块 (Trusted Platform Module, TPM) 是 在 TCG 中 专门 定义 的 安全 体系 核心 
中 的 硬件 组 件 。 在 TPM 中 ， 硬 件 和 软件 的 完整 性 检测 值 存 放 在 平台 配置 寄存 器 (Platform Config- 
uration Register, PCR) 中 。 此 外 ，TPM 还 包含 了 一 个 内 吝 的 背书 密 钠 (Endorsement Key, EK), 
这 个 密 钥 是 不 能 被 移 除 的 。EK 是 一 个 2048 比特 的 RSA 密 钥 对 ， 其 中 公 钥 用 于 识别 TPM 和 私 钥 
用 来 解密 被 传送 到 TPM 的 消息 。 应 该 能 够 确定 一 个 EK 是 否 属于 真正 的 TPM. 一 般 来 说 ， 这 由 
TPM 厂商 的 证 书 实现 。 

TPM 能 够 用 一 个 信任 密 钥 来 签署 PCR 的 内 容 ， 但 是 如 果 用 TPM 发 行 的 证 明 总 是 用 同样 的 密 
钥 签署 ， 观 测 者 可 以 把 它们 都 连接 起 来 。 为 了 使 证 明 不 可 连接 ，TPM 因此 创建 了 证 明 身 份 密 钢 
( Attestation Indentity Key, AIK), AIK 是 由 TPM 产生 的 RSA 签名 密 钥 对 。TPM 需要 一 个 TIP 
的 服务 ， 也 就 是 所 谓 的 私密 CA(PCA) ， 来 获得 一 个 证 书 确 定 AIK 是 否 属 于 真正 的 TPM 证 书 。 
下 面 的 协议 兽 被 考虑 用 来 获得 这 样 的 证 书 。TPM 将 它 的 公共 EK 和 证 明 身份 密 钥 AIK, 的 公共 部 
分 发 送 到 pCA, CA 核实 EK 是 否 属 于 真正 的 TPM， 在 EK 和 AIK 之 间 存 储 映射 ， 并 且 将 证 书 
Cert a B EA] TPM, 证 明 中 ， 当 TPM 在 一 个 证 明 中 用 AIK, 的 私密 部 分 来 签署 PCR 的 内 容 时 ， 
它 包 含 了 发 送 给 验证 人 信息 中 的 Certe o 

(1) TPM—>pCA; EK, AIK, 

(2) pCA>TPM ; Cert o 


Pp 


(3) TPM— Verifier; AIK,, sAIK,(PCR) , Certc 
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你 可 能 注意 到 了 企图 使 证 明 不 可 连接 的 行为 失败 了 。 在 第 一 个 消息 中 所 有 的 证 明 密 钥 都 连 
AT EK, 这样， 所 有 的 证 明 仍然 能 被 连接 。 这 个 问题 已 经 得 到 了 进一步 的 解决 例如， 直接 
匿名 证 明 (Direct Anonymous Attestation)。 然 而 ， 完 全 匿名 不 理想 ， 因 为 还 有 规定 称 它 应 该 可 能 
确认 来 自已 知 的 已 经 失 密 的 TMP 证 明 。 协 议 说 明了 这 些 竞 争 目 标的 提出 方式 ， 例如， 在 
Brickell, Camenisch and Chen(2004) 的 著作 中 ， 以 及 Camenisch(2004) 的 著作 中 。 

12.7 深层 阅读 

Kerberos 的 详细 说 明 包 含 在 Internet RFC 1510( Kohl and Neumann，1993 ) 中 。 与 开发 环境 内 
容 放 置 在 一 起 的 Kerberos 安全 分 析 在 Bellovin and Merritt( 1990) 的 著作 中 有 所 论述 。Kerberos 扩 
展 完善 了 它 的 接 人 控制 功能 ， 例 如 ， 通 过 SESAME( Ashley and Vandenwauver, 1999), OSF DCE 
或 者 PERMIS 中 的 特权 属性 证 书 (Privilege Attribute Certificate, PAC), 与 Kerberos 相似 的 是 ， 
KryptoKnight 是 一 个 集中 系统 ， 在 这 个 系统 中 安全 服务 器 提供 认证 和 密 钥 分 发 。 通 过 用 完整 性 检 
测 代替 加 密 来 绕 过 20 世纪 90 年 代 遇 到 的 输出 问题 。 

先 不 管 它 们 的 短暂 性 ，PKICX roadmap (Aressenault and Turner, 2000) Fil SPKI 的 因特网 草案 
(Ellison et al ，1999) 应 该 在 证 书 理论 的 讨论 中 有 所 提 及 。 在 一 个 国际 公司 中 配置 PKI 得 到 的 经 
验 教训 在 EI- Asa et al (2002 ) 的 著作 中 有 所 报道 。 


12.8 练习 


练习 12.1 在 http 基础 认证 协议 中 ， 当 客户 端 发 送 一 个 密码 的 哈 希 哨 数 而 不 是 一 个 base64 
编码 的 密码 时 ， 分 析 安 全 收益 (如 果 有 的 话 )。 

练习 12.2 阐述 AKEP2 协议 提供 的 双向 实体 认证 和 隐 式 密 钥 认 证 。 

练习 12.3 阐述 STS 协议 提供 了 双向 实体 认证 和 显 式 密 钥 认证 。 

练习 12. 4 考虑 运行 在 一 个 用 户 4 和 服务 器 B 之 间 简 单 的 基于 口令 的 质询 - 应 答 协 议 。P。 
表示 了 4 的 密码 , 是 由 服务 器 产生 的 随机 序列 号 ,并且 h 是 一 个 已 知 的 加 密 哈 希 函数 。 

(1)S—A4: eP,(n) 
(2)A—5: eP, (h(n) ) 

试 说 明 该 协议 很 容易 遭受 离线 密码 猜测 攻击 。 

练习 12. 5 试 证 明 EKE 协议 是 不 容易 遭受 离线 密码 猜测 攻击 的 。 

练习 12.6 WEH STS 协议 不 会 像 Diffie- Hellman 协议 一 样 受到 man- in- the- middle 攻击 。 

练习 12.7 试 修改 Needham- Schroeder 密 钥 交 换 协 议 ， 使 参与 双方 AM B 都 能 通过 输入 帮 
助 会 话 密 钥 的 产生 。 

练习 12. 8 对 KryptoKnight 协议 作 一 个 简短 的 描述 ， 并 且 讨 论 对 比 Kerberos Kik, CA W 
些 优点 和 缺点 。 

练习 12.9 设计 一 个 Kerberos 的 扩展 实例 以 便 允 许 在 域 间 进行 访问 。 为 了 使 该 方案 可 行 ， 
需要 哪些 管理 安排 ， 该 协议 中 需要 增加 哪些 步骤? 

练习 12. 10 ”公司 会 保存 已 签署 的 电子 记录 的 档案 文件 ， 还 有 相关 的 证 书 。 当 在 档案 文件 中 
检查 文档 的 有 效 性 时 ， 应 该 使 用 shell 模型 或 是 链 模型 ? 

练习 12. 11 考虑 一 项 方案 ， 方 案 中 的 证 书 用 来 委派 访问 控制 权 。 在 决定 访问 控制 的 要 求 
时 ， 应 该 使 用 shell 模型 或 是 链 模型 ? 

练习 12. 12 考虑 一 项 方案 , 方案 中 的 证 书 用 来 委派 访问 控制 权 。 主 体 应 该 能 够 授予 不 能 行 
使 自己 的 权利 吗 ? 在 回答 中 ， 请 区 分 以 名 字 为 中 心 和 以 密 钥 为 中 心 的 公 钥 基础 设施 。 
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网 络 连接 着 计算 机 。 这 种 连接 祸 福 参 半 。 更 多 的 交互 成 为 可 能 ， 但 同时 也 有 更 多 不 受 欢迎 的 
交互 。 你 可 能 想 控制 网 络 上 的 用 户 怎 样 能 访问 你 的 系统 ， 自 己 的 系统 上 的 用 户 怎 样 能 访问 网 络 
以 及 怎样 保护 你 的 数据 在 网 上 传输 。 因 此 ， 网 络 安全 不 仅仅 是 应 用 密码 学 ， 还 包括 网 络 级 访问 控 
制 和 和 人 侵 检 测 。 

目标 

© 了 解 安 全 问题 对 网 络 的 挑战 ， 理 解 网 络 安 全 对 计算 机 安全 的 影响 和 依赖 。 

o 以 基本 的 Internet 安全 协议 IPsec 和 SSL/TLS 为 范例 ， 介 绍 网 络 安全 协议 的 设计 。 

。 了解 网 络 边界 怎样 用 作 安 全 周 界 。 . 

© 理解 防 火 墙 和 人 侵 检 测 系统 的 原理 和 局 限 。 


13.1 引言 


计算 机 网 络 是 分 布 式 系 统 中 节点 之 间 传 输 数据 通信 的 基础 设施 。 一 个 节点 上 的 应 用 程序 将 
要 发 送 的 数据 事先 准备 好 ， 用 一 个 电信 和 号 或 光 信和 号 序列 传送 出 去 ， 接 收 端 进行 重组 ， 并 发 给 应 用 
程序 。 网 络 协议 必须 找到 一 条 从 发 送 者 到 接收 者 的 路 径 ， 必 须 处 理 数 据 的 丢失 和 损坏 以 及 失去 
的 连接 ， 例 如 施工 人 员 切断 了 电话 线 缆 。 一 个 好 的 工程 实践 方法 是 逐一 解决 这 些 问题 ， 并 使 用 分 
层 体 系 结构 ， 把 应 用 协议 放 在 顶部 ， 把 有 关 物 理 传 输 的 编码 信息 放 到 底部 。 

ISO/OSI 安全 结构 (国际 标准 化 组 织 ，1989 ) 定义 安全 服务 (security service ) 来 阻止 网 络 安全 
威胁 。 安 全 服务 由 安全 机 制 (security mechanism) 来 执行 。 提 供 的 这 些 服务 的 机 制 大 部 分 来 自 密码 
学 。 典 型 的 如 ， 加 密 、 数 字 签名 、 完 整 性 检查 功能 等 。 密 码 保护 有 一 个 好 的 特性 : 当 N 层 安全 
协议 在 其 下 层 不 安全 的 协议 的 上 面 运 行 时 ，N 层 的 安全 协议 不 会 受到 危害 。 对 这 种 特性 有 一 种 例 
外 。 当 你 的 目标 是 匿名 ,而 且 你 采取 了 预防 措施 来 隐藏 在 某 一 层 的 参与 者 的 身份 时 ， 则 由 较 低 层 
的 协议 添加 的 一 些 数据 仍然 可 能 泄露 关于 消息 的 来 源 和 目的 地 的 信息 。 

不 论 怎样 ， 并 非 所 有 的 安全 问题 都 能 用 密码 学 解决 。 进 一 步 的 防御 是 访问 控制 机 制 ( 防 火 
墙 ) 和 入 侵 检 测 系 统 。 设 计 协 议 对 付 拒绝 服务 攻击 或 限制 这 种 攻击 不 放大 是 网 络 安全 中 的 另 一 个 
令 人 关注 的 问题 。 


13. 1.1 威胁 模型 


网 络 上 的 攻击 者 可 以 是 被 动 的 或 主动 的 。 被 动 攻 击 者 仅仅 监听 通信 。 当 攻击 者 仅仅 是 监听 
通信 时 ， 我 们 讨论 偷 听 (eavesdropping) 、 搭 线 窃听 (wiretapping ) 或 嗅 探 (sniffing ) 。 当 攻击 者 无 法 
读 取 私 人 消息 时 ， 通 信 量 分 析 可 以 试图 确定 通信 和 参数。 攻击 者 会 试图 识别 相同 的 源 (链接 ) 或 者 
找 出 谁 在 和 谁 通 信 ， 以 及 其 通信 频率 。 在 移动 服务 中 ， 攻 击 者 也 许 也 对 用 户 的 位 置 感 兴趣 。 

主动 攻击 者 也 许 会 修改 消息 、 揪 人 新 消息 或 者 毁坏 网 络 管理 信息 ， 如 在 域名 系统 (DNS ) 中 
的 名 字 和 卫 地 址 。 在 欺骗 攻击 中 伪造 消息 发 送 者 的 地 址 。 在 洪 泛 攻击 中 ， 大 量 的 消息 被 指向 受 
Ao EFA (squatting attack) 中 ， 攻 击 者 要 求 定位 受害 者 。 主 动 攻击 并 非 比 被 动 攻击 更 加 
难于 实施 。 事 实 上 发 一 封 伪造 发 送 人 的 邮件 比 拦截 别人 的 邮件 容易 多 了 。 
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攻击 者 会 试 着 了 解 你 的 网 络 内 部 结构 ， 并 使 用 这 种 信息 来 发 动 攻击 。 来 自 于 网 络 管理 协议 
的 信息 就 是 安全 敏感 的 ， 因 为 这 些 协议 收集 的 是 有 关节 点 的 负荷 以 及 可 用 性 的 诊断 信息 。 同 时 ， 
这 些 协议 需要 高 效 的 使 用 网 络 。 如 果 过 分 地 保护 这 些 协 议 ， 网 络 提供 的 服务 质量 会 大 大 地 降低 。 


13.1.2 通信 模型 


在 第 12 章 中 ， 安 全 协议 在 抽象 层 中 描述 。 消 息 直接 在 主角 之 间 传 递 ， 我 们 也 没有 考虑 这 种 
交换 的 精确 性 。 安 全 协议 的 分 析 常 常 在 这 种 模型 中 进行 。Intermet 用 云朵 形状 表示 。 信 息 可 以 被 
任何 决心 要 发 送 或 修改 的 人 发 送 或 修改 。 攻 击 者 可 以 通过 协议 分 析 在 正常 的 网 络 模 型 中 控制 所 
有 的 信息 流动 。 用 笔 和 纸 来 做 比喻 就 是 ， 发 送 者 在 一 张 纸 上 写 好 信息 ， 把 它 扔 到 地 板 上 。 之 后 ， 
接受 者 到 他 或 她 的 垃圾 箱 看 有 什么 东西 没有 。 

这 样 一 个 抽象 模型 并 非 一 个 最 好 的 能 解决 所 有 安全 问题 的 模型 。 在 安全 分 析 中 ， 我 们 可 以 
假定 有 一 个 不 是 很 强 的 潜在 真实 对 手 。 比 如 ， 我 们 可 以 假定 对 手 不 能 控制 整个 网 络 ， 他 仅仅 只 能 
读 那 些 直接 发 向 他 的 地 址 的 信息 。 但 是 他 可 以 随心 所 和 欲 地 修改 发 送 者 的 地 址 。 在 13. 1.3 节 中 ， 
给 了 一 个 这 种 情况 的 安全 分 析 的 例子 。 在 设计 协议 时 ， 我 们 可 能 发 现 网 络 中 的 实体 ， 比 如 防火 墙 
或 NAT， 会 妨碍 Alice 和 Bob 运行 他 们 的 协议 ， 需 要 特别 地 注意 。 


13.1.3 TCP 会 话 支持 
与 客户 机 服务 器 B 创建 一 个 TCP 会 话 ， 客 户 机 4 需要 先 启动 下 面 三 步 握手 协议 。 


(1)A—B: SYN, ISSa 
(2) BA: SYN! ACK, ISSb, ACK(ISSa) 
(3)A—B: ACK, ACK(ISSb) 


SYN 和 ACK 表明 各 自 的 位 已 经 被 设置 好 了 。ISSa 和 ISSb 是 32 位 序列 号 。 它 们 的 关系 是 
ACK(ISSa) =ISSA +1 和 ACK(ISSb) =ISSb +1, 

假设 消息 总 是 发 送 到 指定 的 接收 者 ， 而 且 在 传输 过 程 中 不 能 被 观察 到 。 攻 击 者 只 能 插入 假 
的 源 地 址 和 他 自己 的 消息 。 只 要 序列 号 是 随机 的 ， 这 个 协议 就 是 安全 的 。 攻 击 者 就 不 得 不 猜 发 送 
到 另 一 方 的 序列 号 。 因 此 ，RFC 793 指定 每 4 微 秒 让 32 位 的 计数 器 低位 增加 1。 但 是 ，Berkeley 
导出 Unix 内 核 每 秒 增加 128 ， 每 个 新 连接 增加 64。 因 此 ， 就 没有 太 多 的 随机 性 来 混淆 攻击 者 了 。 

早 在 1985 年 就 有 利用 这 种 执行 决策 的 攻击 (Morris，1985) ， 并 且 在 1989 年 被 推广 ( Bellovin , 
1989), BEA C 先 和 他 的 目标 B 开始 一 个 真实 的 连接 ， 同 时 收 到 一 个 序列 号 ISSb。 然 后 ， 攻 击 
者 假扮 4”， 发 送 一 个 在 源 地 址 填 人 了 A 的 地 址 的 包 。 

C(A)—B: SYN, ISSc 
B 回应 
B>A: SYNI ACK, ISSb', ACK(ISSc) 
到 合法 的 4。C 不 能 看 到 这 条 消息 ， 但 是 他 使 用 ISSb 来 预测 当前 ISSb'， 发 送 
C(A)—B: ACK, ACK(ISSb') 

如 果 猜 测 是 正确 的 , 互 将 和 4 ER, 尽管 是 C 在 发 包 。C 不 能 看 到 这 个 会 话 的 输出 ， 但 是 它 
也 许可 以 使 用 4 在 B 上 的 权限 执行 命令 。 这 种 攻击 方法 可 以 在 Unix 环境 下 运行 ， 在 此 环境 下 攻 
击 者 可 从 可 信和 主机 A 处 骗取 消息 (参见 6.7.2 节 ) 。 像 rsh 这 样 使 用 基于 地 址 验证 的 协议 ,假设 从 
一 个 可 信和 主机 登录 的 用 户 就 是 被 验证 了 的 ， 这 将 是 非常 脆弱 的 。 

证 防火 墙 封锁 所 有 来 自 于 局 部 来 源 地 址 的 所 有 TCP 包 ， 就 可 以 防御 这 种 攻击 了 。 这 种 方式 
只 能 在 所 有 你 信任 的 主机 都 位 于 一 个 局 域 网 中 时 ， 才 起 作用 。 如 果 还 有 在 Internet 中 受信 任 的 主 
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机 ， 防 火 墙 就 不 得 不 阻塞 所 有 使 用 TCP 的 协议 和 基于 地 址 的 认证 。 一 个 更 好 的 解决 方案 是 ， 完 
全 避 开 基于 地 址 的 认证 。 密 码 认证 更 好 一 些 。 


13.1.4 TCP-SYN 洪 泛 攻击 


在 应 答 了 第 一 个 SYN 包 之 后 ，B 服务 器 会 存储 ISSb 序列 号 ， 来 验证 客服 端 发 的 ACK。 攻 击 
者 在 使 用 TCP SYN 洪 泛 攻击 的 时 候 ， 初 始 化 大 量 的 TCP 请 求 (SYN 包 ), 但 是 并 不 完成 协议 的 
运行 ， 直 到 B 服务 器 达到 了 它 的 半 开 连接 的 极限 ， 再 也 不 能 应 答 新 的 请 求 为 止 。 将 修改 TCP 握 
手 协议 允许 服务 器 动态 丢弃 保留 的 状态 。 作 为 TCP 会 话 劫持 攻击 的 一 部 分 ，C 能 够 发 动 SYN HE 
泛 攻击 A, AL A 不 能 处 理 来 至 8 的 SYN-ACK 包 ， 也 不 能 丢掉 攻击 者 想 打 开 的 连接 。 


13.2 协议 设计 原则 


ISO/OSI 结构 的 七 层 模型 (图 13-1) 是 分 层 网 络 协议 的 常见 框架 。 分 层 模型 对 讨论 网 络 安全 
提供 了 相当 有 用 的 抽象 概念 。 分 层 模型 也 让 我 们 回 到 了 2.4.2 节 

中 的 熟悉 主题 。 在 顶部 的 安全 服务 可 以 用 来 满足 特定 应 用 的 要 

求 。 然 而 ， 不 同 的 应 用 都 需要 他 们 自身 的 安全 协议 。 底 部 的 安全 
服务 可 以 用 来 保护 所 有 的 高 层 通信 ， 减 轻 应 用 层 协议 设计 者 对 安 会 训导 


as 
全 的 关心 。 然 而 ， 一 些 应 用 可 能 发 现 这 些 保护 不 能 很 好 地 满足 它 
DAER. 


在 分 层 模型 中 ，N 层 的 对 等 实体 (peer entity ) 使 用 N 层 协议 。 
N+ 层 协 议 看 到 的 是 在 NN 层 上 的 一 个 虚拟 连接 ， 并 且 不 会 考虑 
任何 底层 的 情况 (图 13-2) 。 当 然 ，N 层 协议 是 建立 在 低层 协议 之 “图 13-1 ISO/OSI 七 层 模型 
上 的 。 这 里 有 一 个 用 于 传输 数据 到 底层 的 通用 模式 。N 层 协议 的 消息 称 为 N 层 协议 数据 单元 
(protocd data unit，PDU) 。N 层 协议 通过 调用 N-1 层 的 设施 来 传输 一 个 NN 层 的 协议 数据 单元 。 在 
这 个 阶段 中 ，N 层 协议 数据 单元 可 能 被 分 段 或 者 经 过 其 他 的 处 理 。 再 对 结果 增加 头 部 和 尾部 使 其 
成 为 N -1 层 协议 数据 单元 ((N-1) - PDU)。 这 些 N-1 层 协议 数据 单元 的 接收 者 使 用 报头 和 报 
尾 中 的 信息 来 重组 Y 层 协议 数据 单元 ((N) - PDU)。 图 13-3 给 出 了 这 个 过 程 的 简化 视图 。 








对 等 实体 之 闻 的 连接 位 于 第 NN 层 








实际 数据 交换 
发 送 者 接收 者 


图 13-2 在 N 层 的 虚拟 连接 


[ 报头 | 有 效 载荷 | 报 尾 | .| 报头 | 有 效 载荷 | 报 尾 | 


(N-1) -PDU (N-1) -PDU 








图 13-3 处理 一 个 (N) -PDU 
有 两 个 重要 的 选择 来 实施 N 层 协议 调用 的 N -1 层 的 安全 服务 。 较 高 层 的 协议 能 够 察觉 更 低 
层 的 安全 协议 , 或 者 安全 协议 是 透明 的 。 在 第 一 种 情况 下 ， 高 层 的 协议 不 得 不 改变 它 的 调用 来 访 
问 提供 的 安全 设施 。 在 第 二 种 情况 下 ， 高 层 协议 根本 不 用 改变 。 在 两 种 情况 中 ，N - 1 层 协议 数 
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据 单元 的 帧 头 是 一 个 比较 方便 存储 安全 相关 数据 的 地 方 。 

网 络 协议 栈 有 四 层 ( 图 13-4)。 在 应 用 层 的 协议 有 telnet, ftp, 
http, smtp( Simple Mail Transfer Protocol， 简 单 邮 件 传 输 协 议 ) 或 者 
SET ( Secure Electronic Transaction ) 这 些 协 议 。 在 传输 层 有 TCP 
(Transmission Control Protocol， 传 输 控 制 协议 ) 和 UDP ( User Data- AER 
gram Protocol， 用 户 数据 报 协议 ) 这 些 协议 。 在 网 路 层 有 下 协议 。 . 

TCP 和 UDP 使 用 端口 号 来 标识 协议 数据 单元 属于 谁 。 常 用 的 端口 号 13-4 ”Internet 分 层 结构 
是 21(ftp)，23(telnet)，25 (smtp， 发 送 邮 件 )，110(pop3， 接收 邮 

件 ) ，143 (imap ， 接 收 邮 件 ) ，80(http ) ，443 (https， 安 全 网 页 ) 及 53 (DNS， 名 字 查 找 )。 链 接 
(和 物理 ) 层 的 协议 是 使 用 的 特殊 的 网 络 技 术 。 

TCP 和 人 P 以 及 UDP 和 管理 协议 ICMP 是 网 络 的 核心 。 最 初 ， 这 些 协 议 是 设计 来 使 友好 和 合 
作 的 用 户 能 通过 可 靠 的 网 络 连接 的 ， 因 此 完全 没有 关心 过 安全 事宜 。 今 天 ，TCP/ 了 被 广泛 地 使 
用 ， 并 要 求 更 强大 的 安全 性 。 因 特 网 工程 任务 组 (Internet Engineering Task Force，IETF) 已 经 对 因 
特 网 安全 协议 和 请 求 注释 (Requests for Comments, RFCs) 中 的 进行 了 标准 化 。IETF 对 为 数 众 多 
的 使 用 中 的 安全 协议 进行 了 修订 ， 并 发 布 了 新 的 网 络 安全 协议 。 


13.3 1IP 安全 





国际 互联 层 








IP 是 一 个 无 连接 无 状态 的 传输 TP 包 的 协议 。 这 些 P 包 就 是 网 络 层 的 协议 数据 单元 。 核 心 IP 
规范 提供 尽力 的 服务 。 了 王 是 无 连接 无 状态 的 ， 因 此 每 个 数据 报 被 视 为 一 个 不 依赖 于 其 他 任何 P 
数据 块 的 独立 实体 。 没 有 什么 能 保证 包 能 投递 到 目的 地 ， 没 有 机 制 来 维持 包 的 顺序 ， 也 没有 安全 
协议 。IPv4 作为 RFC 791 在 1981 年 发 布 。 之 后 ， 因 特 网 不 断 发 展 ， 结 果 中 协议 不 得 不 适应 新 的 
要 求 。IPv6 在 RFC1883 中 被 明确 提出 。 当 讨论 P 安全 机 制 的 时 候 ， 我 们 将 参考 这 个 版 本 。 

IP 的 安全 结构 (IPsec) 在 RFC2401 中 有 介绍 。IPsec 在 IPv4 中 是 可 选 的 ， 但 在 IPv6 中 却 是 强 
HERK., Pse 包含 两 个 主要 的 安全 机 制 ， 在 RFC 2402 中 描述 的 IP 认证 报头 (Authentication 
Header, AH) 和 在 RFC 2406 中 讲述 的 IP 封装 安全 有 效 载荷 (Encapsulating Security Payload, 
ESP), P 安全 架构 不 包括 阻止 通信 和 量 分 析 的 机 制 。 


13.3.1 认证 报头 


IP 认证 报头 只 保护 IP 包 的 完整 性 和 可 靠 性 ， 但 是 不 保护 机 密 性 。 最 初 是 由 于 政治 上 的 原因 
推荐 使 用 它 的 。20 世纪 90 年 代 ， 加 密 算 法 的 输出 限制 为 只 认证 机 制 创建 了 机 会 。 如 今 ， 这 些 输 
出 限制 基本 上 被 消除 ， 因 而 推荐 只 使 用 ESP 来 简化 IPsec 的 执行 。 


13.3.2 封装 安全 有 效 载荷 


ESP 提供 机 密 性 ， 数 据 源 认 证 、 数 据 完整 性 、 一 些 重 放 保 护 以 及 限制 传输 流 的 机 密 性 。ESP 
包 ( 图 13-5) 包 含 下 面 这 些 域 。 
。 安 全 参数 索引 (Security Parameters Index, SPI) 是 一 个 32 位 的 域 ， 唯 一 用 于 标识 数据 块 与 
目标 IP 地 址 和 安全 协议 的 安全 结合 体 。 


。 序列 号 是 个 无 符号 32 位 域 ,包含 一 个 计数 值 ; 这 个 值 必须 被 发 送 者 计 人 ， 而 由 接收 者 作 
判断 处 理 。 


。 有 效 载荷 数据 是 一 个 包含 传输 层 PDU 的 可 变 长 度 域 。 
。 填充 区 是 一 个 可 选 的 域 ， 它 包含 为 加 密 算法 填充 的 数据 ; 数据 的 长 度 被 填充 为 算法 块 的 
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整数 倍 长 。 
。 填充 长 度 。 
。 下 一 个 报头 是 传输 层 PDU 的 类 型 。 
e 认证 数据 以 32 位 字 长 为 单位 ， 长 度 可 变 。 包 含 一 个 完整 性 校 验 码 (Intergrity Check Value, 
ICV), H ESP 包 减 去 认证 数据 (Authentication Date) 计 算得 到 。 
SPI 和 序列 号 构成 了 ESP 的 报头 。 在 有 效 载 荷 后 的 域 是 ESP 的 报 尾 。ESP 可 以 使 用 两 种 模 
式 。 在 传输 模式 中 (图 13-6) ， 上 层 协议 框架 ， 例 如 来 自 TCP 或 者 UDP 的 框架 ,被 封装 在 ESP 
中 。 而 下 报头 并 未 加 密 。 传 输 模式 为 两 个 终端 主机 间 交 换 的 包 提 供 端 到 端的 保护 。 当 然 ， 两 个 
节点 都 必须 支持 IPsec, 


安全 参数 索引 (SPI) 
序列 号 


ABBA BR ( 变量 ) 



















填充 区 ( 0~255 字 节 ) 








认证 数据 (变量 ) 





图 13-5 ESP 包 
原始 包头 | yee) | TCP | 数据 | ”原始 外包 


一 一 一 一 加 密 


认证 

















图 13-6 传输 模式 下 对 IPv6 包 应 用 ESP 


在 隧道 模式 (tunnel mode) 中 (图 13-7) ,完整 的 下 数据 报 与 安全 域 一 起 被 视 作为 外 部 P 数据 
报 的 新 的 有 效 载荷 。 原 始 内 部 IP 被 封装 到 外 部 IP 数据 报 。 卫 隧道 因此 可 以 描述 为 下 中 的 IP. 
隧道 模式 可 以 用 在 IPsec 已 经 在 终端 主机 的 网 关上 实现 的 情况 下 。 终 端 主机 不 需要 支持 了 sec。 网 
关 可 以 是 一 个 边界 防火 墙 或 者 路 由 器 。 这 种 模式 提供 网 关 到 网 关 的 安全 ， 而 非 端 到 端的 安全 。 另 
一 方面 ， 我 们 使 通信 流 保 持 了 机 密 性 ， 使 得 中 间 路 由 对 于 P 数据 报 不 可 见 ， 并 且 原 始 来 源 和 目 
标 地 址 得 到 了 隐藏 。 


a) “分 报头 
原始 IP 报头 ( 如果 存在 ) Jada IP & 


新 分 报头 Jade IP ARK | 原始 分 报头 ”| TCP 














o 
图 13-7 隧道 模式 下 将 应 用 ESP 到 IPv6 包 
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13.3.3 ”安全 关联 


通常 ， 破 解 或 者 验证 一 个 ESP 包 的 系统 必须 知道 使 用 的 算法 和 密 钥 ( 以 及 初始 化 矢量 ) 。 这 
种 信息 都 存储 在 一 个 安全 关联 (Security Association, SA; RFC 2401) 中。 安全 关联 通常 是 在 两 个 
通信 主机 之 间 建 立 的 单 向 的 逻辑 连接 ,定义 了 双方 如 何 使 用 安全 服务 进行 通信 。 两 台 主 机 之 间 
的 双向 通信 需要 两 个 安全 关联 ， 每 一 个 SA 保护 一 个 方向 的 数据 。 因 此 ， 安 全 关联 通常 是 成 对 创 
建 的 。 

一 个 安全 关联 是 由 SPI( AH 和 ESP 报头 携带 ) ，IP 目的 地 地 址 以 及 安全 协议 (AH 或 ESP) 标 
识 符 唯 一 定义 。 它 还 包含 像 算 法 标识 、 密 钥 、 密 钥 时 限 和 可 能 的 TV 等 相关 联 的 密码 数据 。 还 有 
一 个 序列 号 计数 器 和 一 个 反应 答 窗 口 。SA 也 表明 是 工作 在 隧道 模式 还 是 传输 模式 。 活 动 SA 表 
保存 在 SA 数据 库 (SAD) 中 。SA 还 能 够 合并 起 来 ， 例 如 ，IPsec 隧道 的 多 层次 巾 套 。 每 个 隧道 可 


以 在 不 同 路 由 的 IPsec 网 关 开始 和 结束 。 图 13-8 所 示 的 使 是 一 台 带 着 安全 关联 的 网 关 和 内 部 主机 
的 远程 主机 的 一 种 典型 配置 。 


Q marsa C alsa O 

















| 因特网 一 一 | ~ 局 域 网 一 
远程 主机 网 关 内 部 主机 








图 13-8 SA 组 合 


13.3.4 ”因特网 密 钥 交换 协议 


如 果 节 点 的 数目 很 小 ， 而 且 没 有 放大 到 适当 的 支持 P 安全 协议 的 主机 网 络 数量 ， 就 可 以 手 
工 创建 SA。 手动 加 密 的 备 选 方案 之 一 就 是 因特网 密 钥 交换 协议 ( Internet Key Exchanged Protocol , 
IKE; RFC 2409 ) 。 一 个 新 的 版 本 ，IKEvV2 正在 制定 中 。 它 的 安全 目标 就 是 实体 认证 和 建立 新 的 
可 以 共享 的 密 钥 。 使 用 共享 密 钥 来 获得 进一步 的 密 钥 。 其 安全 目标 还 包括 所 有 密码 算法 的 安全 
协商 ， 例 如 ， 认 证 方法 、 密 钥 交 换 方 法 、 解 密 算法 和 MAC， 或 者 哈 希 算法 。 一 种 cookie 机 制 (不 
要 和 http 的 cookie 混淆 ) 用 来 提高 对 拒绝 服务 攻击 的 抵抗 能 力 。 有 选项 来 设置 保密 性 为 不 完全 安 
全 或 者 一 定 是 安全 的 。 

IPsec 提供 很 多 选项 和 参数 来 灵活 地 创建 密 钥 。 一 些 人 也 许 会 说 ， 太 多 啦 。 卫 安全 协议 需要 
大 量 的 对 称 密 钥 。 每 个 S4 都 有 一 个 密 铀 ， 后 面 的 每 个 组 合 中 都 有 很 多 的 SA, 

| ESP, AH} x {transport} x | 发 送 者 ， 接 收 者 } 

IKE 在 两 个 阶段 中 起 作用 。 阶 段 一 ,设置 一 个 SA 安全 通道 来 传输 进一步 的 $4 系统， 以 及 错 
误 信 息 和 传输 通信 量 。 这 个 阶段 包含 可 靠 的 实体 鉴别 和 密 钥 交换 。 第 一 阶段 的 协议 有 两 种 变 体 。 
一 种 是 慢 但 更 安全 的 主 模式 (六 信息 ) ， 一 种 是 更 快 的 挑战 模式 (四 信息 ) 。 主 模式 和 挑战 模式 都 
由 多 种 认证 机 制 构成 。 基 于 签名 和 共享 (对 称 ) 密 钥 的 认证 已 经 在 实际 中 部 署 了 。 基 于 公 钥 加 密 
和 修改 的 公 钥 加 密 的 认证 是 规定 的 一 部 分 ， 但 并 没有 在 实践 中 大 量 使 用 。 阶 段 二 ， 通 常 使 用 的 
SA 开始 通信 。 通 过 第 一 阶段 建立 的 安全 通道 快速 通信 。 第 一 阶段 允许 运行 许多 第 二 阶段 ， 然 后 
多 对 SA 就 可 以 进行 通信 了 。 

IPsec 尤其 是 认证 和 加 密 服 务 在 创建 S4 和 会 话 密 钥 时 独立 于 密 钥 管理 协议 。 因 此 ，IPsec 的 
安全 服务 不 与 任何 特殊 的 密 铀 管理 协议 相关 。 如 果 发 现 一 种 密 钥 管 理 协 议 有 缺陷 ， 这 个 协议 可 
以 替换 为 其 他 的 协议 而 不 会 影响 IP 安全 协议 的 工具 。 
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13.3.5 IPsec 策略 


IPsec 策略 决定 了 IP 数据 报 的 安全 处 理 。 支 持 IPsec 的 主机 有 一 个 安全 策略 数据 库 ( Security 
Policy Datebase, SPD), SPD 会 查看 每 个 进入 或 出 去 的 数据 报 。 在 P 数据 报 中 的 这 个 域 和 SPD 条 
目的 域 匹配 。 匹 配 基于 源 和 目的 地 址 (范围 地 址 )、 传 输 层 协议 、 端 口号 等 。 一 个 匹配 识别 一 个 或 者 
一 组 SA( 或 者 一 个 需要 的 新 SA) 。 管 理 IPsec 策略 和 实施 是 很 复杂 的 ， 这 是 一 个 正在 研究 的 领域 。 
13. 3.6 小 结 


IPsec 为 每 个 人 使 用 全 均 提供 了 传输 安全 保障 ， 而 且 它 不 改变 下 的 接口 。 为 了 实现 安全 ， 上 
层 协 议 不 需要 改变 ， 甚 至 不 需要 知道 P 层 在 保护 它们 的 通信 (图 13-9)。 : 

然而 ， 没 有 太 多 的 范围 来 调整 应 用 层 要 求 的 保护 级 别 。 我 们 需要 关心 的 
E IP 作为 通信 协议 的 性 能 ， 不 能 在 检查 应 用 特定 的 数据 方面 花费 太 多 的 
时 间 来 选择 一 种 安全 关联 。IPsec 提供 主机 到 主机 的 安全 ， 而 不 是 使 用 者 
到 使 用 者 或 应 用 程序 到 应 用 程序 的 安全 。 

由 于 发 送 者 和 接收 者 执行 密码 操作 ，IPsec 增加 了 协议 处 理 开 销 和 通 | ee 
信 延 迟 时 间 。IPsec 可 以 为 所 有 的 上 层 协议 提供 安全 保护 ， 但 是 它 也 因此 图 13.9 正安 全 协议 
增加 了 系统 开销 。IPsec 没有 规定 特殊 的 密 钥 管理 协议 。 这 样 一 来 ， 便 可 
允许 不 同 的 节点 选择 它们 最 喜爱 的 方案 ， 但 是 在 不 同 的 节点 使 用 IPsec 来 保护 它们 之 间 的 通信 之 


ee 


前 ， 它 们 必须 就 使 用 某 种 密 钥 管理 方案 达成 一 致 。 
13.4 SSL/TLS 




















TCP 协议 提供 在 两 个 节点 之 间 的 可 靠 的 字 节 流 通信 。TCP 是 一 种 有 状态 的 面向 连接 的 协议 ， 
它 检 测 什么 时 候 包 丢 失 和 什么 时 候 包 次 序 颠 倒 地 到 达 ， 并 且 丢 弃 重 复 的 数据 。TCP 在 建立 两 个 
节点 间 的 会 话 时 ， 可 实现 基于 地 址 的 实体 认证 。 但 是 ， 正 如 在 13.1.3 中 强调 的 ， 它 选择 了 一 种 
很 容易 受到 攻击 的 执行 方式 。TCP 缺乏 强 有 力 的 密码 实体 认证 、 数 据 完整 性 和 机 密 性 。 这 些 服 
务 是 在 安全 套 接 字 层 (SSL) 协 议 中 引入 的 。 它 由 Netscape (网 景 公司 ) 开 发 ， 主 要 保护 WWW Ñ 
{žo RFC 2246 关于 传输 层 安 全 协议 (Transport Layer Security Protocol) (TLS v1.0) 基 本 上 与 SSL 
的 第 三 个 版 本 一 样 。 于 是 ， 这 个 协议 就 变 成 了 众所周知 的 SSL/TSL, RFC 3268 为 TLS 定义 了 基 
于 AES 的 加 密 算法 。 












在 下 协议 栈 中 ，SSL 位 于 应 用 层 协议 和 TCP 协议 之 间 ( 图 [二 
13-10) 。 因 此 ，SSL 能 够 依赖 有 TOP 保证 的 属性 ， 例 如 它 自 己 就 不 


必 关 心 数据 的 可 靠 传 递 。 像 TCP 一 样 ，SSL 也 是 有 状态 的 和 面向 连 
接 的 。SSL 会 话 状态 包括 执行 密码 算法 所 要 求 的 信息 ， 例 如 ， 会 话 
标识 符 、 密 码 程 序 组 的 说 明 、 共 享 的 密 钥 、 证 书 、 由 协议 (如 Diffie- 
Hellan 协议 ,参见 12.3.2 节 ) 使 用 的 随机 数 等 。 为 了 减少 由 密 钥 管 
理 引 起 的 系统 开销 ， 一 个 SSL 会 话 可 以 包括 多 个 连接 。 有 特色 的 实 
例 是 在 客户 和 服务 器 之 间 的 http 1.0 会 话 ， 其 中 为 传输 复合 文档 的 每 一 个 部 分 都 要 建立 一 个 新 的 
连接 。 对 每 个 连接 ， 仅 仅 是 状态 信息 的 一 个 子 集 发 生变 化 。 

SSL 由 SSL 记录 层 (Record Layer) 和 SSL 握手 层 (Handshake Layer) 两 部 分 组 成 。SSL 记录 层 
从 上 层 协议 获得 数据 块 ， 然 后 应 用 在 现行 会 话 状 态 中 的 密码 说 明定 义 的 密码 变换 。 从 本 质 上 说 ， 
SSL 记录 层 提供 一 种 类 似 与 IPsec 的 服务 ， 在 IPsec 安全 关联 和 SSL 状态 之 间 的 相似 绝 不 是 偶 


图 13-10 SSL 安全 协议 层 
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然 的 。 | 

SSL 握手 协议 建立 会 话 状 态 的 密码 参数 。 图 13- 11 说 明了 在 客户 和 服务 器 之 间 的 信息 交换 ， 
括号 中 的 组 件 是 可 选 的 。 为 了 举例 说 明 这 个 协议 ， 我们 现在 单 步调 试 客户 认证 服务 器 的 运行 过 
程 。 客 户 用 ClientHello 消息 开始 协议 的 运行 ， 该 消息 包含 一 个 随机 数 、 一 张 根据 客户 偏好 定制 的 
建议 密码 表 ， 一 个 建议 的 压缩 算法 。 


客户 端 服务 器 


客户 端 hello 消息 














服务 器 t hello 消息 

(服务 器 密 钥 交换 ) 
(证 书 请 求 ) 

服务 器 hello 响应 





改变 密码 说 明 完 成 


图 13-11 SSL 握手 协议 


Mi: ClientHello: ClientRandom[ 28 ] 
建议 的 密码 程序 组 : 

TLS _ RSA _ WITH _ IDEA _ CBC _ SHA 

TLS _ RSA _ WITH _3DES _ EDE _ CBC _ SHA 

TLS _ DH _ DSS _ WITH _ AES _ 128 _ CBC _ SHA 
建议 压缩 算法 : 无 














服务 器 从 建议 的 密码 组 中 选择 TLS _RSA _ WITH _3DES _EDE _CBC SHA, RSA 将 用 于 
密 钥 交换 ，CBC 中 的 三 倍 DES 用 作 加 密 算法 ，SHA 用 作 hash 函数 。 服 务 器 将 用 一 个 Server Hel- 
lo 消息 和 一 个 证 书 链 来 回复 : 


M2: ServerHello; 













ServerRandom| 28 ] 





使 用 密码 程序 组 : 
TLS _ RSA _ WITH _3DES _ EDE _ CBC _ SHA 


Session ID; 0xa00372d4XS 


subjectAltName; SuperStore VirtualOutlet 
PublicKey ; 0x521aa593. .. 

Issuer: SuperStoreHQ 

subjectAltName; SuperStoreHQ 
PublicKey; 0x91400682. . . 

Issuer; Verisign 


Server Done; | NONE 






证 书 : 
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在 我 们 的 例子 中 ， 没 有 要 求 来 自 客户 端的 证 书 。 参 照 证 书 中 主体 可 替换 名 字 扩 展 (subject al- 
ternative name extension) ， 客 户 端 验证 证 书 链 ， 然 后 本 地 生成 一 个 随机 的 48 字 节 的 PreMasterSe- 
cret, MasterSecret 是 下 面 的 前 48 ZFT: 


PRF( PreMasterSecret, “master secret”, ClientRandom || ServerRandom) 


RE, PRF 是 一 个 基于 MDS 和 SHA 的 复杂 函数 的 简写 形式 。( 符 号 |] 表示 级 联 ) 2 Master- 
Secret 用 作 构造 如 下 形式 的 密 钥 块 的 输入 : 


PRF( MasterSecret, “key expansion” , ClientRandom || ServerRandom) 


客户 端 和 服务 器 需要 的 所 有 的 MAC 和 加 密 密 钥 都 可 从 密 钥 块 中 得 到 。 保 护 从 客户 端 到 服务 
器 通信 量 的 密 钥 与 保护 从 服务 器 到 客户 的 通信 量 的 密 钥 是 不 同 的 。 这 样 ， 参 与 者 可 以 很 容易 地 
区 分 他 们 发 送 的 消息 和 接收 的 消息 ， 并 且 他 们 也 不 受 反射 攻击 (reflection attack) 的 影响 。 反 射 攻 
击 就 是 将 消息 重新 发 送 到 它 的 发 送 方 。 

客户 端 现在 将 PreMasterSecret 发 送 到 服务 器 ， 它 使 用 在 选择 的 密码 组 中 规定 的 密 钥 管理 算法 
和 服务 器 的 认证 公开 密 钥 (然后 ， 客 户 端 应 该 立即 销毁 PreMasterSeiect ) 。 在 我 们 的 例子 中 ， 算 法 
是 RSA， 公 开 密 钥 是 0x521aa593, . . 。ChangeCipherSpe 消息 指出 随后 的 记录 将 受 新 商议 的 加 密 程 
序 组 和 密 钥 保 护 接着 客户 端 通过 MD5 和 SHA 构造 的 哈 希 值 来 捆绑 第 三 个 消息 到 前 两 个 消息 。 


RSA_Encrypt ( 
ServerPublicKey, PreMasterSecret ) 


NONE 
MD5 ( M1 || M2 || M3A ) 
SHA (M1 || M2 || M3A ) 


M3: A: ClientKeyExchange: 





B: ChangeCipherSpec : 
C: Finished 





服务 器 解密 PreMasterSelect， 然 后 从 它 计 算出 MasterSelect、 密 钢 块 和 对 于 客户 的 这 次 会 话 有 
效 的 所 有 衍生 出 来 的 密 钥 。 服 务 器 验证 附加 到 客户 消息 上 的 hash 值 ， 而 且 用 下 面 的 消息 回答 : 


M4: A: ChangeCipherSpec: NONE 


[NONE o 
B: Finished MDS (M1 || M2 || M3A || M3C ) 
SHA (M1 || M2 || M3A || M3C ) 
客户 端 验证 在 服务 器 消息 中 的 哈 希 值 。 现 在 ， 参 与 双方 都 建立 了 它们 用 来 保护 特定 应 用 通 
信 的 共享 密 钥 。 


小 结 


SSL/TLS 包含 一 个 握手 协议 ， 客 户 端 和 服务 器 利用 它 来 商定 密码 组 ， 确 立 必需 的 加 密 资料 ， 
进行 相互 认证 。 今 天 ，SSL 是 使 用 的 最 广泛 的 因特网 安全 协议 ， 所 有 的 主流 网 页 浏览 器 都 支持 
它 。SSL 在 应 用 协议 和 TCP 之 间 加 上 了 一 个 安全 层 ， 因 此 应 用 程序 必须 明确 地 要 求 安 全 。 这 样 ， 
应 用 程序 代码 不 得 不 改变 ， 但 是 并 不 需要 改变 多 少 。 例 如 ， 用 一 个 SSL 连接 呼叫 替换 Pre- SSL 应 
用 程序 中 的 TCP 连接 呼叫 。SSL 连接 将 要 初始 化 密码 参数 和 原始 的 TCP 连接 呼叫 。 

客户 端 和 服务 器 必需 保护 它们 创建 的 安全 内 容 参 数 ( 或 者 IPsec SA). AM, H SSL( 或 IP- 
sec) 提供 的 安全 将 受到 威胁 。 我 们 再 一 次 回 到 了 计算 机 安全 。 

经 验 教训 

密码 保护 不 会 受到 来 自在 通信 网 络 下 方 层 的 威胁 ， 它 很 可 能 受到 来 自 网 络 节点 操作 系统 的 
下 面 层 的 威胁 。 








13.5 域名 系统 DNS 


应 用 程序 常常 通过 DNS( Domain Name System, RERA) 知道 它们 的 组 织 形式 。 为 了 通信 ， 
我 们 需要 符合 DNS 名 字 的 IP 地 址 。 这 种 信息 由 DNS 名 称 服务 器 维护 。DNS 查询 给 出 DNS 名 称 
对 应 的 中 地址。 反 向 检查 就 是 提供 下 地 址 对 应 的 DNS 名称。 攻击 者 会 损坏 这 些 信息 来 使 用 户 错 
误 地 连 到 伪造 的 地 址 ， 还 使 一 些 地址 不 能 使 用 以 及 制造 更 严重 的 破坏 。 如 果 其 他 一 些 服 务 器 用 
这 些 损 坏 的 结构 来 升级 它们 的 缓存 的 话 ， 这 个 问题 还 会 加 重 。 

原始 的 DNS 查询 协议 使 用 了 一 种 非常 简单 的 方法 来 阻止 欺骗 。 安 全 DNS 服务 (DNS service， 
DNSSEC) 正 在 不 断 的 部 署 中 。 安 全 问题 一 直 围 绕 DNS 在 不 同类 型 的 标识 必须 连接 时 的 冲突 产生 
的 问题 。 


13.6 防火 墙 


密码 机 制 保护 传输 数据 的 机 密 性 和 完整 性 。 认 证 协议 验证 数据 的 来 源 。 如 果 要 控制 允许 哪 
些 通信 进入 系统 (进入 过 滤 ) ， 或 者 传 出 系统 (外 出 过 滤 ) ， 可 以 部 署 防火 墙 。 

防火 墙 ”一 种 控制 网 络 双方 之 间 的 传输 流 的 网 络 安全 设备 。 

防火 墙 通常 安装 在 整个 组 织 内 部 网 与 因特网 之 间 。 它 们 也 常常 安装 在 内 部 网 内 来 保护 单个 
部 门 。 例 如 ， 一 个 公司 可 能 会 在 它 的 RED 部 门 的 子 网 和 公司 主 网 之 间 安 装 防火 墙 。 

防火 墙 应 该 可 以 控制 网 络 传输 和 保护 网 络 。 但 是 所 有 的 传输 都 必须 通过 防火 墙 ， 才 能 进行 
有 效 的 保护 。 拨 号 线 和 无 线 局 域 网 是 防火 墙 不 能 保护 的 人 口 点 的 很 好 的 例子 。 防 火 墙 可 以 同意 
或 者 阻止 访问 服务 ， 在 同意 访问 前 验证 用 户 或 机 器 ， 以 及 监视 进出 网 络 的 传输 。 防 火 墙 在 20 世 
纪 90 年 代 早期 开始 流行 。 这 时 ， 很 多 终端 都 不 能 保护 自己 的 PC 机 。 它 强制 将 安全 中 心 转移 到 
网 络 边界 上 。 

防火 墙 防御 一 个 受 保护 的 系统 ， 使 外 部 网 络 中 的 第 三 方 不 能 访问 那些 只 能 在 内 部 网 中 可 以 
得 到 的 信息 。 它 们 也 能 限制 从 里 面 到 外 面 服务 的 访问 ， 这 些 服务 对 组 织 的 工作 来 说 是 危险 的 或 
者 不 是 必需 的 。 防 火 墙 可 以 决定 通过 虚拟 专用 网 (Virmal Private Network, VPN) 路 由 敏感 的 通 
信 。VPN 创建 一 个 在 组 织 子 网 没有 直接 连接 的 网 关 之 间 的 安全 连接 。 所 有 在 两 个 子 网 之 间 的 传 
输 都 必须 通过 那些 增加 了 安全 措施 的 密码 保护 的 网 关 。 防 火 墙 也 能 作为 网 络 地 址 翻译 器 (NAT; 
RFC 3022) ， 在 公共 下 地 址 后 面 用 私有 地 址 隐藏 内 部 机 器 ， 并 为 内 部 服务 器 将 公共 地 址 转换 为 私 
有 地 址 。 

在 每 个 网 络 层 ， 我 们 都 能 找到 用 来 控制 访问 的 参数 。 在 OSI 的 第 3 层 ， 我 们 有 源 P 地 址 和 
目的 地 IP 地 址 。 在 OSI 的 第 4 层 ， 我 们 有 TCP 和 UDP 的 端口 号 。 许 多 防火 墙 假设 端口 号 决定 服 
务 ， 但 这 并 不 是 永远 正确 的 。 在 OSI 的 第 7 层 ， 有 很 多 与 应 用 程序 关联 的 信息 : 邮件 地 址 ， 邮 件 
内 容 ， 网 页 要 求 ， 可 执行 文件 ， 病 毒 和 蠕虫 ， 图 片 ， 用 户 名 和 密码 ， 等 等 ， 而 这 只 是 其 中 的 一 小 
部 分 。 通 常 ， 在 网 络 边界 的 机 器 可 以 用 来 控制 对 网 络 的 访问 ， 对 离开 网 络 的 数据 流 加 密码 保护 ， 
或 者 隐藏 网 络 的 结构 。 


13.6.1 包 过 滤 


包 过 滤 在 OSI 的 第 3 和 第 4 层 工作 。 这 个 规则 具体 地 指明 哪些 包 人 允许 通过 防火 墙 ， 哪 些 应 该 
丢掉 ， 该 规则 会 应 用 到 每 个 包 。 典 型 的 规则 详细 说 明了 源 IP 地 址 和 目标 下 地址 ， 以 及 TCP 和 
UDP 的 源 /目标 端口 号 。 双 向 通信 规则 也 可 以 定义 。 这 样 的 防火 墙 可 以 用 TCP/IP 包 过 滤 发 送 程 
序 来 检查 每 个 包 TCP/IP 的 报头 ， 来 实现 通过 或 者 丢掉 包 。 
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仅仅 简单 的 规则 可 以 强制 使 用 ， 普 通 的 协议 也 很 难处 理 。 例 如 ， 当 客户 端 将 ft 请 求 发 送 到 
ftp 服务 器 时 ， 防 火 墙 不 能 连接 来 自 服务 器 为 这 个 请 求 返回 的 数据 包 。 我 们 有 针对 来 自 端口 20 的 
所 有 包 的 通用 规则 ， 或 者 从 特定 P 地 址 来 的 所 有 端口 20 的 包 的 规则 ， 但 是 我 们 不 能 动态 地 定义 
规则 o 


13.6.2 ”状态 包 过 滤器 


状态 (动态 ) 包 过 滤器 能 够 明白 请 求 并 做 出 回复 。 例 如 ， 它 们 知道 关于 TCP 开放 序列 的 
(SYN，SYN-ACK，ACK) -模式 。 规 则 通常 只 针对 一 个 方向 上 的 第 一 个 包 。 在 第 一 个 包 出 去 之 
后 创建 状态 。 通 信 中 后 续 的 包 就 可 以 自动 处 理 了 。 状 态 防火 墙 支持 大 量 协议 的 过 滤 规 则 ， 而 不 仅 
Dice BNL, AA, ftp, IRC, R# H323, 

包 过 滤 可 以 由 路 由 器 来 做 ， 而 且 性 价 比 很 高 。 此 外 ， 它 是 非常 容易 配置 提供 有 限 功 能 的 安全 
平台 ， 而 仅仅 只 有 函数 性 的 限制 。Linux 系统 使 用 iptable 的 数据 结构 来 定义 包 过 滤 规 则 。 可 以 实 
施 的 过 滤 策 略 受到 参数 的 限制 ， 参 数 可 以 在 TCP AIP 头 中 观察 到 。 过 滤 规 则 也 可 以 更 容易 的 
规定 。 


13.6.3 电路 级 代理 


电路 级 代理 有 同 包 过 滤 差 不 多 的 规则 ， 但 是 并 不 路 由 所 有 的 包 。 规 则 决定 了 允许 哪些 连接 ， 
封锁 哪些 连接 。 人 允许 的 连接 会 在 防火 墙 和 目标 之 间 创 建 一 个 新 连接 。 这 种 防火 墙 在 这 里 提 及 到 ， 
是 由 于 它 很 少 在 实际 中 使 用 了 。 它 的 函数 性 和 状态 包 过 滤器 差不多 ,但 是 效能 更 低 。 


13.6.4 应 用 层 代理 


防火 墙 可 以 监控 每 个 应 用 层 协议 ， 代 理 执行 防火 墙 上 协议 的 服务 和 客户 部 分 。 当 一 个 客户 
端 连接 到 防火 墙 时 ， 防 火 墙 的 代理 就 像 服 务 器 一 样 使 请 求生 效 。 代 理 是 男 一 个 受 控 调用 的 例子 。 
例如 ， 一 个 邮件 代理 可 以 过 滤 掉 病毒 、 蠕 虫 和 垃圾 。 如 果 人 允许 客户 端的 请 求 ， 代 理 就 作为 客户 
端 ， 连 接 到 目标 服务 器 。 通 过 防火 墙 的 回应 也 由 代理 处 理 和 检查 。 代 理 服 务 器 仅仅 是 外 部 看 见 的 
结构 。 它 在 传输 中 使 用 排除 过 滤 的 方法 ， 例 如 ， 去 掉 邮 件 的 附件 。 

应 用 层 的 代理 通常 在 固化 PC 上 运行 。 应 用 程序 代理 可 以 在 进 或 者 出 的 通信 量 中 提供 关闭 控 
制 。 在 这 个 方面 ， 应 用 层 代理 提供 了 高 的 安全 级 别 ， 它 所 提供 的 配置 比较 合适 。 在 底 侧 ， 有 大 量 
对 每 个 连接 的 处 理 ， 配 置 也 更 加 困难 。 在 这 方面 ， 应 用 层 代 理 没有 这 么 安全 ， 防 火 墙 安全 方面 的 
漏洞 也 是 早 就 有 报道 的 了 。 相 对 于 包 过 滤器 来 说 ， 它 的 性 能 更 差 ， 而 花费 更 高 。 此 外 ， 你 需要 为 
每 个 你 想 保护 的 服务 准备 一 个 代理 服务 器 。 因 此 ， 面 对 因特网 服务 的 增长 ， 这 条 路 线 并 不 会 太 
容易 。 

包 过 滤器 的 行为 可 以 比 作 通 过 电话 号 码 关 闭 电话 。 它 们 对 特定 的 号 码 锁定 呼叫 。 例 如 ， 收 费 
号 码 。 而 应 用 层 代理 就 像 通过 监听 谈话 的 电话 监视 器 。 


13.6.5 防火墙 策略 


宽松 的 策略 允许 所 有 的 通信 ， 但 是 封锁 一 些 比较 危险 的 服务 ( 像 teinet 或 samp ) ， 或 者 封锁 
通常 用 来 攻击 的 端口 号 。 这 非常 容易 犯错 。 如 果 你 忘记 封锁 一 些 你 该 封锁 的 东西 ， 也 许 在 你 没 意 
识 到 的 时 候 就 被 利用 了 。 限 制 性 的 策略 封锁 所 有 的 通信 ， 而 仅 仪 开放 需要 使 用 的 东西 ， 如 htp, 
pop3 smtp 或 SSH。 这 是 一 种 更 安全 的 做 法 。 如 果 你 封锁 了 一 些 需 要 的 东西 ， 就 有 人 会 抱怨 ， 
然后 你 就 可 以 允许 这 些 协议 。 策 略 通 常 被 看 作 有 肯定 和 否定 表 项 的 访问 控制 列表 。 上 典型 的 防火 
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墙 规则 集 应 该 看 起 来 像 这 样 : 
e。 人 允许 从 内 部 网 络 到 因特网 http, ftp, SSH, DNS 
© 允许 从 任何 地 方 到 邮件 服务 器 : smtp. 
© 允许 从 邮件 服务 器 到 因特网 ，smtp，DNS 
© 允许 从 内 部 到 邮件 服务 器 : smtp, pop3 
e 允许 回应 包 
e 封锁 其 他 的 所 有 东西 
当 在 实际 中 部 署 防火 墙 时 ， 定义 和 管理 规则 集 是 一 个 非常 重要 的 问题 


13. 6.6 边界 网 络 


邮件 服务 器 应 该 放置 在 哪里 取决 于 防火 墙 码 ? 邮件 服务 器 需要 进行 外 部 访问 来 从 外 部 接收 
邮件 。 因 此 它 应 该 位 于 防火 墙 内 部 。 仅 仅 是 防火 墙 能 保护 邮件 服务 器 从 外 访问 的 权限 。 邮 件 服务 
器 也 需要 内 部 权限 来 从 因特网 收 邮件 。 因 此 它 应 该 在 防火 墙 内 部 。 你 也 许 想 阻 止 蠕虫 和 病毒 在 
你 网 络 上 传播 ， 或 阻止 机 密 文档 泄露 你 的 网 络 。 作 为 一 种 解决 方案 ， 你 可 以 创建 一 个 边界 网 络 ， 
也 被 称 作 非 警戒 区 (Demilitarized Zone ，DMZ ) 。 可 以 用 在 有 服务 需要 从 防火 墙 的 内 部 和 外 部 都 
得 访问 的 情况 (图 13-12) 。 除 了 邮件 服务 器 以 外 ， 网 页 服务 器 和 名 称 服 务 器 也 需要 这 样 做 。 






邮件 服务 器 





口 口 口 口 


图 13-12 非 警戒 区 


13.6.7 局 限 性 和 问题 . 


防火 墙 不 能 保护 内 部 不 受 威胁 。 封 锁 服务 可 能 会 造成 用 户 的 不 方便 。 网 络 诊断 将 比较 困难 。 
很 难 支 持 某 些 协议 。 包 过 小 防火 墙 不 能 提供 任何 基于 内 容 的 过 滤 。 如 果 邮 件 是 被 允许 的 ， 那 么 包 
含 病毒 的 邮件 也 会 被 允许 通过 。 甚 至 应 用 层 代理 防火 墙 也 不 能 完全 地 检查 内 容 。 防 火 墙 不 知道 
操作 系统 和 应 用 程序 的 漏洞 。 今 天 大 量 的 服务 使 用 http 的 80 端口 。 因 此 ， 判 断 通 过 这 个 端口 的 
通信 和 是否 是 合法 变 得 非常 困难 。 

协议 隧道 ， 即 通过 另 一 种 协议 发 送 这 种 协议 的 数据 ， 将 使 防火 墙 失效 。 由 于 越 来 越 多 谨慎 的 
管理 员 除了 不 得 不 开 的 80 端口 外 ， 关 闭 其 他 几乎 所 有 的 端口 ， 越 来 越 多 的 协议 也 通过 http 隧道 
来 穿 过 防火 墙 。 另 一 个 可 选用 的 隧道 是 SSH 协议 。 
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不 能 检查 和 过 滤 加 密 通 信 ， 因 此 很 多 协议 像 https 和 SSH 都 提供 端 到 端的 密码 保护 ， 这 样 就 
不 能 被 防火 墙 监视 了 。 另 一 种 方法 是 在 防火 墙 中 为 这 类 协议 使 用 代理 。 但 是 这 样 就 会 丧失 端 到 
端的 安全 性 。 这 些 发 展 导致 有 人 宣布 防火 墙 快要 不 能 作为 安全 结构 的 部 件 了 ， 并 且 预 言 安全 服 
务 将 会 从 网 络 转 回 到 终端 主机 。 个 人 防火 墙 正在 使 网 络 通信 上 的 访问 控制 转移 到 终端 系统 。 


13.7 “入侵 检测 


密码 学 机 制 和 协议 是 预防 攻击 的 领域 。 虽 然 ， 这 些 可 以 很 好 地 预防 所 有 的 攻击 ， 但 是 在 现实 
中 ， 这 些 攻击 也 是 不 太 可 能 的 。 新 型 的 攻击 方式 已 经 出 现 了 ， 像 拒绝 服务 攻击 (密码 学 也 许 还 会 
让 该 问题 更 糟糕 )。 像 防火 墙 这 样 的 边界 网 络 安全 设备 主要 用 来 阻止 来 自 外 网 的 攻击 ,但 是 它们 
有 时 可 能 做 不 到 。 防 火 墙 可 能 会 出 现 配 置 错误 ， 密 码 可 能 被 窃取 ， 新 的 攻击 类 型 也 可 能 出 现 。 而 
且 ， 这 些 设备 不 能 检测 攻击 发 生 的 时 间 。 因 此 ， 为 了 检测 网 络 攻 击 ， 可 以 配置 人 侵 检 测 系 统 
(Instrusion Detection System, IDS) 。 

一 个 IDS 由 一 系列 收集 信息 的 传感器 组 成 ， 这 些 传感器 可 以 在 主机 上 也 可 以 在 网 络 上 。 这 
种 传感器 网 络 由 一 个 中 央 控 制 台 管 理 。 分 析 数 据 、 人 侵 报 告 、 触 发 反应 都 由 中 央 控 制 台 管理 。 人 
侵 检 测 有 两 种 途径 : 误 用 检测 ( misuse detection ) 和 异常 检测 (anomaly detection ) 。 传 感 器 和 控制 
台 的 通信 ， 特 征 数 据 库 和 产生 的 日 志 都 应 该 被 保护 。 而 且 IDS 厂家 应 该 提供 更 新 特征 库 的 安全 
FR. BN, DS 自身 都 有 可 能 受到 攻击 和 操纵 。 已 经 有 很 多 利用 IDS 本 身 的 漏洞 进行 攻击 的 
案例 。 


13.7.1 漏洞 评估 


漏洞 评估 用 于 评价 一 个 网 络 的 安全 状态 。 收 集 开 放 的 端口 ， 运 行 的 软件 包 ( 哪个 版 本 ， 是 否 
打 了 补丁 ) ， 网 络 拓扑 结构 等 信息 ， 就 可 以 得 到 一 个 不 同安 全 级 别 的 漏洞 列表 。 漏 洞 评 估 正 如 它 
所 基于 的 技术 一 样 ， 必 须 时 常 更 新 才能 处 理 新 的 威胁 。 几 个 安全 组 织 跟踪 安全 漏洞 ， 并 列 出 可 用 
的 补丁 。 计 算 机 紧急 事故 响应 小 组 (Computer Emergency Response Team, CERT) 就 提供 了 很 好 的 
相关 资源 ， 例 如 CMU (http://www. cert. org/), SANS (http://www. sans. org/) 和 保存 了 漏洞 档 
案 的 “安全 焦点 ”(http://www. securityfocus. com/) ， 还 有 主要 的 软件 和 硬件 制造 厂家 的 站 点 。 


13.7.2 误 用 检测 


误 用 检测 (misuse detection) 用 于 寻找 攻击 特征 。 攻 击 特征 可 以 是 网 络 通信 中 的 式样 ， 也 可 以 
是 日 志文 件 中 用 于 表明 可 疑 行为 的 活动 。 这 些 特征 包括 在 一 台 敏感 主机 上 登录 失败 的 次 数 ， 人 P 
数据 包 可 以 表明 一 次 缓冲 区 溢出 攻击 的 一 些 位 ， 或 者 是 表明 一 次 SYN 洪 泛 攻击 的 某 种 类 型 的 
TCP SYN 包 。 人 入侵 检测 系统 也 得 考虑 到 安全 策略 ， 以 及 已 知 的 漏洞 和 攻击 的 数据 库 来 进行 监测 。 

再 者 ， 这 些 系统 的 安全 性 跟 数 据 库 中 的 攻击 特征 库 联系 在 一 起 。 新 的 漏洞 经 常 被 发 现 和 利 
用 。IDS 厂家 必须 跟 上 最 新 的 攻击 和 数据 库 的 更 新 。 用 户 需 要 安装 更 新 。 数 据 库 已 知 的 漏洞 和 发 
掘 方法 会 变 得 大 而 无 用 ， 而 且 减 缓 了 入 侵 检测 系统 的 运行 。 在 写本 书 的 时 候 (2005 €), MAK 
商业 人 侵 检 测 系 统 都 是 基于 误 用 检测 的 。 这 些 系统 也 被 成 为 基于 技术 的 IDS。 


13.7.3 异常 检测 


统计 的 异常 检测 ( 或 者 称 基于 行为 的 检测 ) 利用 统计 学 技术 检测 可 能 存在 的 入 侵 。 首先 ， 把 
正常 的 行为 作为 基线 。 在 整个 操作 过 程 中 ， 将 统计 分 析 被 监视 的 数据 和 估量 背离 基线 的 行为 。 如 
果 超 出 阐 值 ， 就 发 出 警报 。 这 种 人 侵 检测 系统 不 需要 知道 所 监视 特定 系统 的 漏洞 。 基 线 定义 常 
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态 。 因 此 ， 即 使 没有 更 新 依赖 的 技术 ， 也 可 以 检测 到 新 的 攻击 方式 。 

男 一 方面 ， 异常 检 测 只 检测 异常 行为 。 可 疑 行 为 不 一 定 会 形成 一 次 人 侵 。 在 一 台 敏感 主机 上 
的 多 次 试图 登录 失败 可 能 是 由 于 一 次 入 侵 ， 也 可 能 是 管理 员 忘 记 密 码 。 这 方面 的 有 趣事 例 可 以 
从 Bejtlich(2000) 处 得 到 。 攻 击 也 不 一 定 会 产生 异常 。 一 位 细心 的 攻击 者 可 以 在 IDS 监视 下 “ 飞 
过 ”， 而 且 不 被 检测 到 。 特 别 是 当 基 线 被 设置 为 动态 和 自动 调整 的 时 候 ， 这 种 情况 就 会 发 生 。 一 
位 有 耐心 的 攻击 者 可 以 一 步 一 步 地 躲 过 那个 时 间 ， 直 到 他 计划 的 攻击 不 再 产生 任何 警报 。 因 此 ， 
我 们 必须 关心 假 阳 性 ( 假 警 报 ) (系统 报告 有 攻击 发 生 ， 实 际 上 没有 任何 事情 发 生 ) 和 假 阴 性 (由 于 
攻击 行为 在 正常 行为 定义 的 界限 之 内 ， 导 致 攻击 无 法 检测 到 )。 


13.7.4 基于 网 络 的 入 侵 检 测 系统 


基于 网 络 的 IDS( NIDS) 会 在 网 络 通 信 中 查找 攻击 特征 。 一 个 网 络 适配器 以 混杂 模式 运行 ， 实 
时 分 析 所 有 经 过 网 络 的 通信 。 攻 击 识 别 模块 把 网 络 数据 包 作为 数据 源 。 有 三 种 常用 的 技术 识别 
网 络 攻击 特征 : RE, RAR MP PBL, BORER AA A, PMO AHI), A 
及 与 次 要 事件 的 相互 联系 (在 商用 产品 中 这 些 事件 不 多 ) 。Snort 是 一 种 在 开源 社区 中 研发 的 一 种 
流行 NIDS。 


13.7.5 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 IDS( HIDS) 从 主机 的 日 志文 件 中 查找 攻击 特征 。 它 也 可 以 验证 关键 系统 文件 的 
校 验 和 以 及 在 规则 间隔 时 间 的 可 执行 性 。 一 些 产 品 可 以 用 正则 表达 式 推 荐 攻击 特征 (例如 : 密码 
程序 的 执行 和 主机 文件 的 改变 ) 。 一 些 IDS 监听 端口 的 活动 ， 当 特殊 的 端口 被 访问 时 产生 警报 ， 
提供 有 限 的 基于 网 络 的 IDS 能 力 。 现 在 有 一 种 转向 基于 主机 的 人 侵 检测 系统 趋势 。 而 最 有 效 的 人 
侵 检测 方法 是 结合 NDS 和 HIDS。 

由 于 IDS 警报 已 经 接近 实时 性 ， 所 以 IDS 可 以 被 用 作 一 个 实时 响应 工具 ， 但 是 自动 响应 也 不 
可 避免 危险 。 一 个 攻击 者 可 能 欺骗 IDS 响应 ， 但 是 该 响应 却 指向 无 带 的 目标 (使 用 假 的 源 IP 地 
址 ) 。 由 于 IDS 主动 的 误 报 ， 用 户 会 被 强迫 退出 账户 。 对 管理 员 的 E- mail 账户 重复 发 送 邮件 通知 
会 变 成 拒绝 服务 攻击 。 


13.7.6 Z 


SHE (honeypot) 是 用 于 跟踪 攻击 者 和 研究 、 收 集 黑客 活动 证 据 的 一 种 资源 。 它 们 模仿 真实 的 
系统 ， 其 实 不 包含 真正 的 产品 信息 。 由 定义 ， 每 一 个 被 监视 到 的 在 蜜 钠 上 的 活动 都 是 一 次 攻击 。 


密 钢 ” 密 维 是 一 个 信息 资源 体系 ,其 价值 在 于 未 经 授权 或 非法 使 用 资源 (Spitzner， 
2003), 


BRE TUERARKEATS REAM RE p, WAKE H Bie RRE RAEE 
RF. ERREZ LIRAS, RERET AMRA R. MA, hA 
ARES RA a EE, RERE. MEERES AMRETA. BRR He Be, 
更 多 的 行为 就 会 被 监视 到 。 高 层次 交互 的 蜜 把 提供 真实 的 服务 ,但 是 提供 假 的 数据 。 攻 击 者 与 蜜 
把 交互 得 越 多 ， 危 险 越 大 ， 因 为 攻击 者 会 错误 地 把 蜜 钠 当 作 台 阶 去 攻击 其 他 机 器 。 


13.8 深层 阅读 


这 一 章 只 描述 关于 网 络 安 全 相关 问题 和 技术 的 简单 轮廓 。Ford(1994) 和 Stalings (2003 ) 完整 
BOE T RES, Atkins (1997) RET AAS. Cheswick, Bellovin and Rubin(2003)， 以 
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及 Zwicky, Cooper and Chapman ( 1995 ) 在 防火 墙 方面 都 有 很 好 的 著作 。Piacek and Newsham 
(1998) 阐述 了 网 络 入 侵 检测 中 不 断 上 升 的 技术 问题 。 

关于 因特网 安全 的 最 好 的 资料 来 源 当 然 是 因特网 了 。 因 特 网 工程 任务 组 的 网 址 是 : http:// 
www. ietf. orgo X F IPSEC 的 文档 也 可 以 在 http://www. ietf. org/html. charters/ipsec- charter. html 
上 获得 。IETF 规范 ， 像 网 络 技术 一 样 ， 也 是 在 不 断 变化 。 对 于 因特网 安全 研究 来 说 ， 它 更 是 如 
此 ， 所 以 当 你 阅读 这 本 书 的 时 候 ， 如 果 IPSEC 或 者 SSL/TLS 的 某 些 方面 已 经 改变 ， 也 不 要 失望 。 


13.9 练习 


练习 13.1 ARP( 地 址 解析 协议 ) 将 硬件 地 址 和 下 地 址 联系 起 来 。 这 种 联系 可 能 随 着 时 间 而 
改变 。 每 一 个 网 络 节点 均 保 留 了 对 应 P 地 址 和 硬件 地 址 的 ARP 高 速 缓存 。 高 速 缓存 条 目 几 分 钟 
就 过 期 。 节 点 发 现 它 要 寻找 的 P 地 址 所 对 应 的 物理 地 址 不 存在 于 高 速 缓存 中 时 ， 就 发 送 ARP 请 
求 ， 该 请 求 包 含 了 它 自 己 的 IP 地 址 和 硬件 地 址 。ARP 请 求 中 的 IP 地 址 对 应 的 节点 用 它 的 硬件 地 
址 响应 ， 所 有 其 他 的 节点 则 忽略 这 个 ARP 请 求 。ARP 欺骗 的 原理 是 什么 ? 哪 种 防御 可 以 用 来 对 
抗 ARP SK ai? 

练习 13.2 试 设计 一 个 没有 状态 定义 的 TCP 握手 协议 ， 使 该 协议 能 够 免 受 TCP SYN HI 
攻击 。 

练习 13.3 客户 端 4(a. example. org) 想 要 通过 服务 器 端 B 的 域名 b. example. com 访问 。 客 
户 端 4 向 本 地 域名 服务 器 请 求 B A IP 地 址 。 如 果 本 地 域名 服务 器 的 缓存 中 没有 该 下 地址 ， 那 么 
它 就 会 向 更 权威 的 域名 服务 器 请 求 B 的 了 PP 地址。 该 请 求 包含 一 个 16 位 的 序列 号 。 如 果 收 到 一 个 
正确 的 序列 号 ， 那么 本 地 域名 服务 器 则 更 新 它 的 缓存 。 其 他 的 回应 都 会 被 丢弃 。 假 设 一 个 攻击 者 
向 4 的 域名 服务 器 发 送 请 求 B AI IP 地 址 的 欺骗 请 求 ， 辣 时 伪装 B 的 域名 服务 器 回应 一 个 假 的 8 
的 地 址 。 欺 骗 4 的 域名 服务 器 接收 假 的 B 的 全 地址， 这 个 攻击 需要 多 长 时 间 才 能 成 功 ? (域名 服 
务 器 可 以 同时 处 理 多 个 查询 。) 

练习 13.4 对 于 IPSEC 和 SSL 来 说 ， 运 行 此 协议 的 节点 假设 是 安全 的 。 为 了 使 这 种 假设 成 
为 真 的， 这 些 节点 需要 采取 哪些 附加 的 安全 措施 ? 

练习 13. 5 对 于 一 个 安全 的 E-mail 系统 和 一 台 运 行 安全 E-mail 系统 的 机 器 ， 你 应 分 别 要 求 
Bick HERE? 哪个 协议 层 最 适合 提供 这 个 安全 服务 ?” 回答 时 需 区 分 提供 匿名 服务 和 不 提供 匿 
名 服务 。 

练习 13.6 在 设计 过 滤 数 据 包 的 防火 墙 时 ， 检 测 IP 隧道 的 数据 包 。 

练习 13.7 ”因特网 是 计算 机 病毒 的 源泉 。 防 火 墙 保护 内 部 网 络 免 受 外 部 的 攻击 。 防 火 墙 能 
保护 内 部 网 络 不 受 病毒 感染 吗 ? 回答 时 应 考虑 不 同类 型 的 防火 墙 。 在 TCP/IP 层 或 者 应 用 层 的 密 
码 保 护 如 何 影 响 防火 墙 的 反 病 毒 能 力 ? 

练习 13.8 一 个 公司 允许 它 的 雇员 在 家 或 者 出 游 的 时 候 使 用 便 痪 区 电 脑 。 提出 一 个 安全 方 
案 保护 便携 式 电 脑 和 公司 的 企业 内 联网 。 





第 14 章 软件 安全 


在 最 近 的 计算 机 蠕虫 病毒 (computer worm) 对 网 络 造成 巨大 损害 的 时 候 ， 或 是 在 广泛 使 用 的 
软件 产品 中 发 现 重大 的 软肋 的 时 候 ， 计 算 机 安全 问题 便 引 起 了 人 们 广泛 的 关注 。 一 些 攻击 通过 
迷惑 用 户 点 击 邮件 附件 ， 来 执行 一 段 攻 击 性 的 代码 。 另 一 些 攻击 则 在 软件 开发 者 所 使 用 的 程序 
抽象 层 之 下 ， 通 过 使 用 缓冲 区 超 限 (buffer overrun) 来 操作 控制 流 的 方法 ， 把 自己 攻击 的 目标 放 在 
内 存 管理 的 缺陷 上 。 在 这 两 种 情况 下 ， 攻 击 者 都 可 以 利用 提升 的 优先 权 来 运行 一 些 代 码 。 查 找到 
的 程序 错误 有 时 很 简单 ， 而 且 排 除 这 些 问 题 也 看 似 很 简单 。 在 某 些 情 况 下， 这 种 评价 是 正确 的 ， 
但 是 实现 一 个 复杂 的 系统 却 又 是 一 件 很 有 挑战 性 的 工作 ， 并 且 计 算 机 软件 的 安全 漏洞 已 经 有 很 
长 的 历史 了 。 

在 这 章 中 ， 我 们 将 分 析 引 发 操作 软件 漏洞 的 常见 原因 。 针 对 开发 者 怎样 编写 安全 代码 这 些 
详细 的 介绍 ， 不 在 研究 的 范围 内 。 介 绍 软件 安全 的 方面 的 书籍 参看 本 章 的 末尾 。 

目标 

。 介绍 一 些 引 发 软件 不 安全 性 的 基本 原因 。 

© 探讨 分 裂 的 抽象 的 危险 性 。 

。 设计 软件 系统 时 ， 可 表述 出 对 可 用 防卫 系统 的 更 好 的 理解 。 

。 提供 恶意 攻击 的 一 种 分 类 。 


14.1 引言 


对 于 独立 的 计算 机 ， 或 是 说 真正 意义 上 的 个 人 计算 机 而 言 ， 用 户 能 够 控制 相互 发 送信 息 的 
软件 部 件 。 对 于 连接 到 因特网 上 的 计算 机 ， 不 友好 的 部 件 之 间 也 可 以 提供 输入 。 网 络 软 件 对 于 攻 
击 而 言 是 一 个 普遍 的 目标 ， 因 为 它 是 用 于 接受 外 部 的 输入 ， 并 且 涉 及 了 一 些 对 内 存 缓冲 的 低级 
操作 。 如 果 软 件 能 够 有 意识 地 处 理 一 些 畸 形 的 输入 ， 从 而 保护 运行 时 系统 的 完整 性 的 话 ， 那 么 该 
软件 就 是 安全 的 。 安 全 软件 并 不 等 同 于 添加 了 安全 特性 的 软件 。 


14.1.1 安全 性 和 可 靠 性 ' 


软件 的 安全 性 与 软件 的 质量 和 软件 的 可 靠 性 相关 ， 但 是 它们 之 间 又 有 很 多 不 同 之 处 。 可 靠 
性 处 理 的 是 突 发 性 故障 。 假 定 根据 某 种 给 定 的 分 布 ， 故 障 肯定 会 出 现 。 那 么 基于 该 分 布 规则 在 可 
靠 方 面 的 提高 是 可 以 计算 出 来 的 。 为 了 使 软件 更 加 可 靠 ,使 用 的 测试 用 例 就 不 能 使 用 通常 的 典 
型 用 法 : 有 多 少 漏洞 并 不 重要 ， 重 要 的 是 这 些 漏洞 被 激发 的 频率 如 何 。 在 安全 的 环境 中 ， 攻 击 者 
会 提取 输入 中 的 各 种 分 布 。 因 此 ， 传 统 的 测试 方法 对 于 发 现 安全 漏洞 并 不 适合 。 为 了 保证 软件 更 
加 安全 ， 就 不 能 使 用 典型 的 测试 模式 (但 是 也 有 典型 的 攻击 模式 ) 。 


14.1.2 恶意 程序 分 类 


拥有 破坏 性 目的 的 软件 称 为 恶意 软件 。 恶 意 软件 种 类 繁多 ， 计 算 机 安全 中 采用 拟人 的 方式 
对 它们 进行 分 类 。 计 算 机 病毒 (computer virus) 是 一 段 能 够 进行 自我 复制 的 代码 ， 它 利用 有 效 负 
荷 (payload) ， 附 着 在 另 一 段 代 码 上 。 这 种 负荷 可 以 是 轻微 无 害 的 ， 比 如 显示 一 条 信息 ， 或 是 播 
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放 一 段 曲 子 ， 也 可 以 是 有 害 的 行为 ， 比 如 : 删除 和 修改 文件 的 信息 。 计 算 机 病毒 通过 把 自己 注入 
HFFR H, KAR (infect) HF. mA k (wom) 能够 自我 复制 却 不 能 感染 程序 。 大 众 媒体 在 
报道 计算 机 安全 事故 的 时 候 ， 并 未 严格 区 分 蠕虫 和 病毒 。 但 一 段 代码 在 全 球 范 围 内 莹 延 的 时 候 ， 
你 可 能 会 阅读 到 有 关 病 毒 攻 击 的 消息 , 但 是 事实 上 ， 把 它 称 为 蠕虫 更 为 准确 。 

特洛伊 木马 (Trojan horse) 是 一 段 拥有 隐 密 负 作 用 的 一 种 程序 ， 它 们 在 程序 文档 中 并 没有 说 
明 ， 用 户 也 没有 企图 要 执行 这 段 程序 。 远 辑 炸 弹 (loginc bomb ) 是 当 一 种 在 特殊 激发 条 件 被 满足 
的 时 候 执 行 的 一 段 程序 。 


14.1.3 黑客 


最 初 ， 黑 客 是 指 对 计算 机 系统 内 部 细节 熟悉 的 人 ， 他 们 对 计算 机 系统 的 使 用 超过 一 般 用 户 
对 计算 机 的 掌握 程度 。 随 着 时 间 的 流逝 ， 术 语 “ 黑 客 ” 有 了 一 种 贬 意 ， 即 指 某 人 非法 地 阁 入 到 计 
算 机 系统 中 。 被 称 为 white ha 的 黑客 利用 自己 掌握 的 技术 来 帮助 软件 开发 者 ; 被 称 为 black hat 
的 黑客 则 非法 闪 人 到 系统 中 ， 企 图 创建 一 些 有 损坏 性 或 破坏 性 的 东西 。 可 见 这 两 种 黑客 之 间 有 
很 大 的 不 同 。 据 报道 ， 普 通 网 络 犯罪 事件 数量 在 不 断 地 上 升 。 

许多 攻击 都 采用 了 一 种 自动 和 有 效 的 方式 ， 利 用 已 知 的 安全 漏洞 (或 是 设计 特征 ) ， 而 并 不 
需要 精巧 和 高 深 的 技术 知识 。 使 用 别人 提供 的 工具 来 发 起 攻击 的 攻击 者 被 称 为 脚本 小 子 (ankle- 
biter, script kiddy) 。 

在 家 里 尝试 危险 的 代码 可 能 是 一 种 智力 上 的 挑战 ， 但 是 的 确 也 充满 了 危险 。 反 病毒 专家 们 
已 经 认识 到 了 把 实际 操作 系统 从 试验 系统 脱离 开 来 的 重要 性 。 否 则 ， 就 可 能 出 现代 码 从 实验 室 
泄露 出 去 的 危险 。 你 可 能 会 因 泄露 对 其 他 人 的 机 器 执行 动作 的 代码 ， 而 触犯 相关 的 法 律 。 因 此 ， 
通常 给 你 的 警告 是 : 不 要 在 家 里 面 尝 试 这 种 做 法 。 


14.1.4 ”环境 的 改动 


改动 是 安全 最 大 的 敌人 之 一 。 你 可 能 拥有 了 一 个 能 够 提供 非常 恰当 的 安全 体系 的 系统 。 你 
改变 了 系统 的 一 部 分 。 你 可 能 已 经 意识 到 了 这 样 的 改动 会 带 来 安全 隐患 ， 但 是 仍旧 这 样 做 了 。 更 
糟糕 的 是 ， 你 或 许 认 为 改动 与 安全 之 间 无 丝 训 联系 ， 这 仅仅 是 一 个 意外 。 在 看 到 包含 新 特性 的 操 
作 系 统 版 本 和 对 这 些 新 特性 中 的 问题 进一步 进行 修补 的 版 本 之 间 的 有 规律 的 交换 的 情况 下 ， 对 
奇数 和 偶数 版 本 的 操作 系统 各 自 的 安全 性 能 ， 就 有 许多 种 说 法 。 


14.2 字符 和 数字 


许多 软件 的 缺陷 都 归结 于 分 裂 的 抽象 。 像 这 种 与 安全 相 联 系 的 问题 都 会 在 诸如 字符 和 整数 
这 样 基本 的 概论 中 发 现 。 对 于 这 些 问 题 的 描述 指 的 是 字符 和 整数 实际 在 内 存 中 表示 的 方式 。 十 
六 制 值 一 般 都 会 加 一 个 前 缀 OX 或 是 前 级 % (一 般 在 URL 中 ) ， 反 应 的 是 当前 使 用 的 不 同 约定 。 


14.2.1 字符 (UTF-8 编码 ) 


软件 的 开发 者 编写 的 应 用 程序 ， 应 该 能 够 为 用 户 提供 到 达 特 定子 目录 ， 如 A/B/C 的 唯一 的 
访问 路 径 。 用 户 键入 文件 名 作为 输入 。 到 达 文 件 的 路 径 名 就 可 以 通过 A/B/C/input 这 样 的 应 用 
来 构建 了 。 这 种 限制 用 户 的 尝试 可 以 轻易 地 被 绕 过 。 敌 人 可 以 通过 在 目录 树 中 输入 ../ 逐步 进入 
并 且 通 过 输入 

wife Lue Live fas fete/passwd 


来 访问 口令 文件 。 作 为 一 种 应 对 措施 ， 开 发 者 可 执行 某 些 输入 校 验 (input validation) ， 并 且 过 滤 
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掉 这 些 敏 感 字符 集 “.../”,， 但 是 这 样 并 不 代表 就 可 以 一 劳 永 逸 了 。 

Unicode 字符 集 ( RFC 2259) 的 UTF-8 编码 是 被 定义 为 在 为 ASCI 设计 的 系统 上 使 用 的 Uni- 
code, ASCII 字符 (U0000- U007F) 通 过 ASCII 字 节 (0X00 ~ 0X7F) 来 表示 。 所 有 的 非 ASCH 字符 
都 可 以 通过 非 ASCII 字 节 (0X80 ~0XF7) 来 表示 。 编 码 规则 的 定义 如 下 所 示 : 

U000000 - U00007F : Oxxxxxxx 

U000080 - UOOOTFF : 110xxxxx 10xxxxxx 

U000800 - UOOFFFF : 1110xxxx 10xxxxxx 10xxxxxx 

U010000 - ULOFFFF : 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx 


其 中 xxx 位 是 Unicode 数字 的 二 进 制 表示 中 最 不 重要 的 位 。 比 如 : 版 权 号 U00A9 = 1010 1001 
就 可 以 用 UTF-8 编码 编制 成 : 11000010 10101001 = OxC2 0xA9。 只 有 最 短 的 可 能 的 UTF-8 序列 
才 对 任意 的 Unicode 字符 有 效 ， 但 是 UTF-8 编码 器 也 会 接受 更 长 的 变量 。 但 多 字 节 的 UTF-8 格 
式 被 接受 的 时 候 ， 一 个 字符 就 可 能 得 到 多 种 的 表示 。 以 下 列举 的 是 “/” 写 法 的 三 种 方式 。 


格式 二 进 制 十 六 制 进 制 
1 字 节 Oxxx XXXX 0010 1111 2F 
2 字 节 110x xxxx 1100 0000 co 
10xx XXXX 1010 1111 AF 
3 字 节 1110 xxxx 1110 0000 EO 
10xx xxxx 1000 0000 80 
10xx XXXX 1010 1111 AF 


曾经 ， 在 微软 的 US 中 有 一 个 漏洞 会 引发 以 下 事件 : 可 接受 单字 节 的 非法 的 Unicode 表示 ， 

但 是 在 输入 校 验 中 却 不 检查 。 一 个 以 
{IP 地 址 }/ 脚 本 /..% c0% af.. /winnt /system32/ 
开始 的 URL 就 会 被 直接 转换 成 这 样 的 目录 : C: \winnt\system32。 因 为 % 0% af 是 / 的 二 字 节 
UTF-8 编码 。 因 此 ，.. %c0% af . 就 变 成 了 ../../ 。 对 于 这 个 事 ， 还 有 进一步 的 扭曲 。 现 在 来 
考虑 一 下 这 个 URL 
{IP 地 址 } /脚本 /..% 25% 32% 66.. /winnt/system32/ 

要 想 知道 这 个 URL 地 址 在 处 理 时 发 生 了 什么 ,应 先 用 二 进 制 写 出 这 个 序列 :%25%32% 66, 
从 而 你 会 得 到 001000101 00110010 01100110， 即 ASCI 字符 申 %2f。 那 么 这 个 URL 地 址 就 会 编 
码 成 下 地址: /脚本 /.. %2f../winnt/system32/。 现 在 还 没有 问题 ， 但 是 如 果 这 个 URL 被 第 二 次 
编码 的 时 候 ,%2f 就 会 被 读 成 /并 且 URL 被 直接 转换 成 目录 C: \winnt\system32。 在 某 种 程度 上 ， 
观察 的 方式 改变 了 字符 的 意思 。 


14.2.2 整数 滋 出 


在 数学 中 ， 整 数 表 示 的 是 一 个 无 限 的 集合 。 而 在 计算 机 系统 中 ， 整 数 是 通过 固定 长 度 ( 精 
度 ) 的 二 进 制 串 来 表示 的 。 因 此 只 能 表示 有 限 个 整数 。 程 序 设 计 语 言 中 ， 整 数 分 为 带 符号 整数 和 
无 符号 整数 ， 短 整数 和 长 整数 (或 超 长 整数 ) 。 如 果 计 算 的 结果 超过 了 可 以 表示 的 数字 ， 那 么 就 
会 发 生 溢出 (overflow ) 现象 。 在 这 种 情况 下 ， 通 常 我 们 所 熟知 的 整数 计算 规则 就 不 适用 了 。 比 
如 ， 在 8 位 无 符号 整数 计算 中 ， 需 要 执行 模 256 的 运算 ， 所 以 有 255 +1 =0，16 x17 =16， 并 且 
0 -1 =255, 

带 符号 的 整数 是 通过 二 进 制 的 补 码 来 表示 的 。 最 高 位 (最 左边 的 一 位 ) 就 表明 了 这 个 整数 的 
符号 。 如 果 符 号 位 是 0， 那 么 这 个 整数 就 是 正 的 ， 它 就 用 正常 的 二 进 制 表示 。 如 果 符 号 位 是 1， 
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那么 这 个 整数 就 是 负 的 ， 要 计算 -n 的 二 进 制 补 码 可 以 执行 以 下 方案 : 
。 把 所 有 的 1 改 成 0， 所 有 的 0 改 成 1， 来 颠倒 二 进 制 n 的 表示 。 对 于 8 位 二 进 制 整数 而 言 ， 
这 一 步 可 以 通过 255 - n 来 实现 。 
。 然后 在 这 个 中 间 结 果 上 面 加 上 1。 对 于 8 位 的 二 进 制 整数 ， 这 一 步 可 以 通过 255 -n+1 = 
256 -n REW., HF 256 对 应 的 是 进位 位 。 

因此 ， 把 一 个 负 的 二 进 制 补 码 加 到 与 其 具有 相同 的 模 的 正 整 数 上 ， 那 么 两 者 得 到 的 结果 的 
确 是 0。 但 和 一 个 带 符号 的 整数 计算 则 可 能 得 到 意 想 不 到 的 结果 。 比 如 ， 对 于 8 位 二 进 制 整 数 而 
言 ， 可 能 会 得 到 127 +1 = -128 和 -128/ -1= -1 这样 的 结果 。 在 带 符号 数 和 无 符号 数 之 间 转 换 
的 时 候 ， 一 个 大 的 正 数 就 可 能 变 成 一 个 负 值 : 0xFF =2 -1( 无 符号 ) = -1( 带 符号 ) 。 

在 整数 表述 之 间 的 转换 可 能 会 引发 安全 问题 。 下 面 的 一 条 命令 就 是 比较 一 个 带 符号 的 整数 
变量 size 和 sizeof( buf) 的 运算 结果 ，sizeof( buf) 返 回 的 是 一 个 数据 类 型 size _t 的 所 用 字符 的 大 
小 ， 比 如 说 可 能 是 一 个 无 符号 整数 ， 

if(size <sizeof(buf)) 

如 果 size 是 一 个 负数 ， 并 且 编 译 器 把 sizeof (size) 的 结果 转换 成 一 个 带 符号 的 整数 ， 那 么 组 
存 区 就 可 能 出 现 溢 出 现象 。 整 数 的 截断 可 能 是 另 一 个 潜在 的 问题 。 某 个 UNIX 版 本 就 有 如 下 的 弱 
点 : 一 个 接受 UID 作为 输入 (假设 是 一 个 符号 整数 ) 的 程序 ， 通 过 检测 UID 40 来 防止 对 根 目录 的 
访问 ; 但 是 UD 后 来 被 截取 成 一 个 无 符号 的 短 整数 ， 使 得 输入 0x10000 变 成 了 0x0000( HR!) 

在 数学 中 ， 整 数 运算 的 公理 就 隐 含 了 结果 ， 比 如 说 : 若 b>0, Wat+bea, 在 计算 机 系统 
下 ， 这 种 显而易见 的 例子 ， 就 不 再 是 真实 的 了 。 这 种 在 抽象 模型 和 实际 的 实现 上 的 差异 就 可 能 引 
起 缓存 区 的 溢出 (参见 14. 4. 1 节 ) 。 思 考 下 面 的 一 小 段 程序 代码 ， 这 段 代 码 是 把 两 个 字符 串 复制 
到 一 个 缓冲 区 中 ， 并 且 检 查 两 个 字符 串 结合 起 来 之 后 的 长 度 是 否 和 缓冲 区 相 匹 配 。 


char buf[128]; 
combine(char * sl, size_t lenl, char * s2, size_t len2) 
{ 
if(lenl +len2 +1 < = sizeof(buf) ) { 
strncpy(buf, sl, lenl); 
strncpy(buf, s2. len2); 
} 
} 


在 32 位 系统 中 ， 攻 击 者 能 够 构造 sl 使 得 lenl < sizeof( buf) 并 且 设 置 len2 =OxFFFFFFFF, $% 
着 stmecat 就 会 被 执行 ， 并 且 缓 冲 区 也 会 游 出 ， 原 因 如 下 : : 
leni +0xFFFFFFFF +1 = =lenl < sizeof(buf). 
计算 机 整数 并 不 是 实现 数学 抽象 的 整数 ， 而 是 以 2” 为 模 的 整数 ， 其 中 w 是 选 作 它 们 代表 的 二 进 

制 bit 数 。 这 种 在 抽象 层 上 的 断裂 ( 即 无 关联 ) 可 能 要 导致 程序 员 犯 下 刚才 讨论 过 的 一 些 错误 。 


许多 程序 员 似 乎 都 会 认为 整数 有 任意 的 精度 ， 而 不 会 认为 整数 是 使 用 模 数 计算 的 固定 

规模 的 数量 范围 (Ashcraft and Engler, 2002) 。 

经 验 教训 

如 果真 的 不 需要 负数 的 话 ， 那 么 可 以 声明 所 有 的 整数 均 为 无 符号 整数 。 如 果 计算 的 是 在 内 
存 中 对 象 的 规模 大 小 ， 那 么 你 就 不 需要 负数 。 如 果 编 译 器 标记 了 带 符号 数 和 无 符号 数 的 匹配 对 ， 
那么 需要 检查 一 下 是 否 需 要 两 种 不 同 的 表示 。 如 果真 的 需要 ， 那 么 请 留意 要 执行 的 检查 。 


14. 2.3 数组 
计算 数组 使 用 的 是 整数 计算 。 如 果 没 有 保证 这 些 运算 的 结果 不 超过 数组 长 度 的 检查 的 话 ， 
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那么 超过 数组 的 内 存 区 域 就 有 可 能 会 被 访问 。( 这 是 典型 的 初学 者 在 人 门 程序 课程 中 所 犯 的 错 
误 。) 如 果 算 术 运 算 结 果 出 现 负 的 结果 ， 或 是 程序 员 不 考虑 模 加 的 结果 时 ， 都 可 能 会 访问 一 些 更 
低 的 地 址 区 域 。 因 此 当 计 算数 组 索引 时 ， 就 必须 得 检查 上 下 界 。 
在 下 面 的 例子 中 ， 我们 假设 有 一 个 4 字 节 元 素 和 32 位 地 址 组 成 的 数组 ， 那 么 数组 中 元 素 的 
内 存 地 址 就 可 以 通过 以 下 方式 计算 出 来 。 
元 素 地 址 [索引 ] = 数组 基地 址 + 索引 号 x 元 素 的 大 小 
如 果 数 组 的 基地 址 是 0x01720314， 并 且 要 在 0x0010FF08 的 内 存 地 址 上 写 数据 。 我 们 首先 就 
要 计算 上 妥 的 地 址 和 基地 址 之 间 的 距离 ， 
Ox10010FF08 
—0x001720314 _ 
0x0 FE9EFBF4 


并 且 要 让 结果 除 以 4 来 得 到 索引 号 Ox3FATBEFD, ， 用 十 进 制 表示 为 1067958013 。 如 果 不 检查 数组 
索引 边界 的 话 ， 我 们 就 可 能 在 数组 的 索引 位 置 1067958013 处 写 人 我 们 目标 地 址 的 值 。 


14.3 规范 表示 


名 字 ( 身 份 、 标 识 ) 都 是 广泛 使 用 的 抽象 表示 。 我 们 会 给 文件 和 目录 取 名 ， 以 使 得 可 以 方便 
地 找到 它们 。 同 样 地 ， 网 络 节点 在 协议 栈 (DNS RA, P 地址，…… ) 的 不 同 层次 也 有 自己 的 标 
识 。 在 安全 决策 中 也 需要 名 字 。 防 火 墙 可 以 让 通信 仅仅 在 某 些 节 点 间 来 回 。 安 全 策略 决定 用 户 可 
以 访问 哪些 文件 。 如 果 某 一 个 实体 有 不 止 一 个 名 字 ， 或 是 多 个 名 字 代表 同样 一 个 事物 ， 那 么 攻击 
者 就 可 以 通过 使 用 一 个 等 价 的 名 字 来 绕 过 安全 控制 ， 而 这 个 名 字 在 设置 安全 策略 的 时 候 ， 是 没 


有 被 考虑 到 的 。 类 似 这 种 性 质 的 问题 经 常 遇 到 。 文 件 名 、URL 或 是 IP 地 址 都 有 不 止 一 种 编写 





方式 。 

© 文件 名 : c:\x\data = c:ly\z\..\.. \x\data = c:\y\z\% 2e% 2e\% 2e% 2e\x\data 

e fT IP; abe. d=a-2* 4+b-2% 4+ce-2 +d 

e。 符号 连接 : 指向 了 另 一 个 文件 的 文件 名 。 

这 些 问题 对 于 安全 的 实施 所 带 来 的 影响 已 经 口述 过 了 。 法 律 规 定 使 用 文件 共享 服务 Napster 
来 封锁 对 某 些 歌曲 的 访问 。Napster 实现 了 一 个 过 滤 规 则 ， 从 而 封锁 了 基于 歌曲 名 称 的 下 载 服 务 。 
Napster 的 用 户 可 通过 使 用 不 同 的 歌曲 名 字 来 避 开 这 项 控制 。 这 是 一 个 相当 棘手 的 问题 ， 因 为 用 
户 决定 了 哪些 名 字 是 相互 等 价 的 。 

下 面 我 们 来 考虑 不 区 分 大 小 写 的 文件 和 名。 在 这 种 情况 下 myfile 和 Myfile 对 于 同一 个 文件 来 
说 等 价 的 。 把 一 个 不 区 分 文件 名 大 小 写 的 文件 系统 与 一 个 区 分 文件 名 大 小 写 的 安全 机 制 体系 结 
合 起 来 。( 像 这 样 的 事情 就 曾经 发 生 在 Apache 的 网 站 服务 器 和 HFS + 文件 系统 上 。) 假设 我 们 仅 
仅 为 一 种 版 本 的 名 字 定 义 了 许可 ， 如 : Myfile。 攻 击 要 求 访问 myfile， 若 没有 设置 任何 限制 ， 安 
全 体系 就 会 授予 请 求 ， 并 且 文 件 系 统 会 访问 这 些 资源 ， 而 原本 这 些 资源 是 应 该 受到 保护 的 。 

为 了 突出 强调 这 些 问题 ， 那 么 在 做 出 文件 访问 控制 决策 之 前 就 必须 执行 规范 化 (canonicaliza- 
tion) 。 规 范 化 是 解决 把 同一 个 名 字 不 同形 式 转变 到 单一 标准 名 字 的 过 程 。 单 一 的 标准 名 字 称 为 规范 
名 字 (canonical name) 。 任 何 时 候 一 个 对 象 拥有 不 同 的 但 却 等 价 的 表示 时 候 ， 规 范 化 都 是 相关 的 。 

经 验 教训 

不 要 把 接收 到 的 名 字 当 作用 户 输 入 ， 把 它们 正确 转化 成 标准 表示 。 见 “不 要 相信 你 的 输入 ” 
Howard and LeBlanc(2002)。 使 用 规则 的 表示 方式 来 定义 和 确认 名 字 和 输入 值 的 有 效 性 。 使 用 完 
整 的 路 径 名 ， 而 不 是 系统 自动 为 你 产生 的 完整 路 径 名 。 最 好 不 要 在 应 用 层 上 基于 名 字 作 出 决定 ， 
而 是 使 用 操作 系统 地 访问 控制 。 
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14.4 AGRE 


古代 的 城市 和 中 世纪 的 城堡 都 有 多 层 地 环形 保护 墙 来 防御 攻击 者 。 为 了 击破 这 些 防御 设置 ， 
攻击 者 采 在 墙 的 下 部 打 隧道 的 方法 来 使 这 些 防御 墙 吉 塌 。 相 似 的 ， 软 件 的 开发 者 也 会 设计 出 逻 
辑 严密 的 防御 体制 。 如 果 攻 击 者 能 够 打通 一 条 隧道 直接 通 往 到 内 存 ， 那 么 钦 辑 严密 的 防御 系统 
也 会 在 底层 被 削弱 。 在 内 存 管理 上 的 缺陷 可 能 会 露出 破绽 ， 让 攻击 者 渗透 到 系统 中 去 。 

在 程序 设计 语言 C 和 C++ 的 设计 中 ， 程序 员 可 以 执行 他 们 自己 的 内 存 管理 。 现 在 还 有 一 些 
类 似 的 情形 ,但 是 也 该 轮 到 开发 者 自己 来 正确 地 管理 内 存 了 。 像 Java 或 是 在 项 部 
C# 这 样 的 语言 就 可 以 使 开发 者 从 这 些 任务 中 脱离 出 来 ， 并 且 也 移 除了 可 能 
的 错误 源 。 

图 14-1 显示 了 一 个 典型 的 内 存 结构 ， 使 用 最 高 内 存 地 址 的 运行 栈 ， 包 
含 了 当前 调用 栈 进程 中 的 栈 帧 。 而 栈 帧 又 包含 了 一 些 信息 ， 如 返回 地 址 、 
局 部 变量 和 功能 参数 。 而 栈 是 向 内 存 的 低地 址 处 延伸 。 堆 是 从 内 存 的 最 低 内 存 底部 
地 址 (用 户 空间 ) 处 开始 ， 它 动态 地 包含 了 要 分 配 的 缓存 区 。 堆 是 向 内 存 的 “图 14-1 内 存 结构 
高 地 址 处 延伸 。 


14. 4. 1 缓冲 区 溢出 


用 典型 的 程序 设计 语言 书写 的 代码 中 ,， 值 是 被 保存 在 变量 、 数 组 等 中 的 。 要 执行 一 个 程序 ， 
内 存 区 域 (缓冲 区 ) 就 要 分 配给 各 个 变量 。 如 果 赋 给 一 个 变量 的 值 超过 了 分 配 的 缓冲 区 大 小 ， 那 
么 就 可 能 发 生 缓冲 区 溢出 的 现象 ， 并 且 没 有 分 配给 这 个 变量 的 区 域 也 会 被 覆盖 。 如 果 这 块 内 存 
区 域 已 经 分 配给 其 他 变量 ， 那 么 这 个 变量 的 值 就 会 改变 。 无 意识 的 缓冲 溢出 可 能 使 得 软件 崩溃 。 
如 果 一 个 攻击 者 通过 故意 赋予 一 个 恶意 的 值 给 某 个 其 他 的 变量 那 来 修改 一 些 安全 相关 的 数据 ， 
那么 有 意识 缓冲 区 溢出 就 要 引起 重视 了 。 引 起 我 们 注意 的 是 返回 地 址 (说 明了 下 一 个 要 执行 的 代 
码 片断 ) 和 安全 设置 。 缓 冲 区 溢出 在 曾经 一 段 时 间 内 是 安全 漏洞 的 缘由 。 我 们 将 给 出 两 个 历史 例 
子 来 说 明 此 。 


14.4.2 ”虚拟 内 存 系统 (VMS) 登录 


数字 VMS 操作 系统 的 一 个 版 本 在 登录 程序 上 有 一 个 漏洞 。 用 户 可 以 通过 如 下 的 方式 书写 他 
们 的 用 户 名 登录 到 他 们 想 要 登录 的 具体 设备 上 。 
Username/DEVICE = <machine > (用 户 名 /设备 = < 机 器 > ) 
在 操作 系统 的 一 个 版 本 中 ， 并 没有 检验 参数 machin 的 长 度 。 如 果 设 备 的 名 字 多 于 132 个 字 
节 那 么 就 会 覆盖 掉 登 录 启 动 的 进程 的 特权 级 。 因 此 用 户 可 以 通过 提供 一 个 恰当 的 “机 器 名 "来 设 
置 他 们 自己 的 优先 级 。 


14.4.3 finger 漏洞 


第 二 个 例子 是 在 1988 年 出 现 的 网 络 蠕虫 。 在 不 同 的 弱点 中 ， 蠕 虫 都 会 通过 在 fingerd 后 台 程 
序 中 开辟 一 个 溢出 缓冲 区 的 方式 ， 冯 入 到 运行 UNIX 4BSD 的 VAX 系统 中 。 一 条 536 位 长 的 发 送 
给 fingerd 的 信息 就 会 被 用 来 覆盖 掉 系 统 的 栈 区 : 


pushl $68732£ push'/sh, <NUL>' 

pushl $6e69622£ push'/bin' 

movl $p, r10 save address of start of string 
pushl $0 push 0 (arg 3 to execve) 
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pushl $0 push 0 (arg 2 to execve) 

pushl r10 push string addr(arg 1 to execve) 
pushl $3 push argument count 

movl sp, ap set argument pointer 

chmk $ 3b do "execve" kernel call 


栈 已 经 完成 设置 ， 因 此 在 返回 到 主 程序 时 ， 就 可 以 执行 execve(" bin/sh", 0, 0) 命令 了 ， 
这 条 命令 通过 TCP 打开 一 条 到 远程 shell HER (Spafford, 1989) 。 


14.4.4 Bei 


对 调用 栈 的 缓冲 区 溢出 攻击 被 称 为 栈 溢出 。 为 了 表明 这 种 攻击 的 基本 原理 ， 下 图 14-2( 
图 ) 给 出 了 一 个 帧 的 概要 。 当 函数 function (int a, int b，int c) 的 局 部 变量 x My 被 调用 的 时 候 ， 
这 个 帧 就 会 被 压 人 到 栈 里 去 。 开 始 的 是 相反 顺序 的 输入 值 ， 接 着 是 返回 值 ， 保 存 的 帧 指针 ， 它 指 
向 之 前 的 栈 顶 。 最 后 ， 分 配 的 是 函数 中 定义 的 任何 局 部 变量 的 缓冲 区 。( 这 种 精确 的 栈 调 用 是 操 
作 系统 所 特有 的 。) 


原始 栈 帧 缓冲 区 游 出 后 的 栈 帧 


保存 的 帧 指针 








y 的 缓冲 区 溢出 





图 14-2 栈 的 粉碎 性 攻击 


假如 在 函数 中 不 检查 赋 给 y 的 值 的 规模 大 小 ， 那 么 攻击 者 就 可 能 赋 给 y 一 个 值 ， 使 它 超过 分 
配给 y 的 缓冲 区 域 ， 从 而 覆盖 了 在 y 之 上 的 一 段 内 存 区 域 。 特 别 是， 攻击 者 可 以 用 他 的 代码 的 开 
始 地 址 重 写 返回 地 址 (图 14-2) 。 要 注意 的 是 ， 如 果 栈 是 从 内 存 的 低地 址 区 向 上 延伸 的 话 ， 就 不 
会 发 生 这 样 的 攻击 现象 。 

对 于 攻击 者 而 言 ， 最 后 的 任务 就 是 寻找 一 种 方式 ， 使 得 攻击 代码 能 够 渗透 到 系统 中 来 。 一 种 
简单 的 方式 就 是 把 代码 发 送 到 一 个 输入 变量 中 ， 这 样 就 可 以 使 得 它 存储 在 栈 中 。 当 攻击 者 不 能 
准确 地 预测 到 输入 变量 和 攻击 代码 存放 处 的 时 候 ， 那 么 在 代码 的 起 始 处 的 NOP( 空 操作 ) 就 会 弥 
补 代码 位 置 的 变化 。 


14.4.5 不 可 执行 的 栈 


我 们 将 会 在 14. 7 节 中 讨论 缓冲 区 溢出 的 一 般 性 防御 方案 。 这 儿 ， 我 们 只 提 及 两 个 特定 栈 的 
防御 策略 。 使 用 不 可 执行 的 栈 (nonexecutable stack) 体系 可 以 防止 攻击 代码 被 放 人 到 栈 里 面 去 。 
代码 也 不 会 再 次 被 编译 ， 但 是 要 求 可 以 执行 栈 的 现 有 软件 也 不 能 工作 了 。 

可 以 在 返回 地 址 的 下 方 内 存 区 域 中 设置 一 个 警戒 灯 的 ( 随机 的 ) 预警 值 ? ， 这 样 试图 改变 返回 
值 的 行为 将 会 被 检查 到 ( Cowan et al，1998) 。 在 返回 之 前 ， 系 统 将 会 检查 预警 值 是 否 还 是 正确 的 
(图 14-3) 。 为 了 使 用 这 种 技术 ， 必 须 再 次 对 代码 进行 编译 ， 这 样 一 来 ， 对 预警 值 的 插入 和 之 后 
的 检查 便 会 被 加 入 到 对 象 代码 中 。 





O ”在 煤矿 中 用 警戒 灯 来 检查 天 然 气 的 泄漏 ， 如 果 它 灭 了 ， 就 意味 着 要 矿工 需 撤 出 。 
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预警 什 溢出 上 且 标 新 值 检查 ， 新 值 2 预警 值 
几 个 帧 指针 缓冲 区 人 
目标 缓冲 区 | | B | 























图 14-3 预警 值 用 来 暗示 栈 可 能 的 溢出 


14.4.6 SEH 


由 于 基于 栈 滋 出 攻击 的 问题 过 于 突出 ， 设 计 者 们 对 于 栈 的 保护 投入 了 比 对 堆 的 保护 更 多 的 
精力 。 堆 是 通过 应 用 程序 动态 地 分 配 出 去 的 一 段 内 存 区 域 。 堆 中 的 缓冲 区 溢出 称 为 堆 溢 出 。 在 堆 
中 更 难 判断 怎样 重 写 一 段 缓 冲 区 域 ， 同 样 在 进程 中 ， 哪 一 段 缓冲 区 域 被 覆盖 了 也 很 难 确定 。 如 果 
你 是 一 个 攻击 者 ， 那 么 你 很 可 能 不 想 在 你 占领 系统 之 前 就 摧毁 它 ， 但 是 即使 一 直 没 有 成 功 的 攻 
击 行为 ， 对 于 防御 系统 来 说 也 是 一 种 威胁 。 

为 了 控制 整个 执行 ， 攻 击 就 不 得 不 覆盖 掉 影 响 控 制 和 数据 流 的 一 些 参 数 。 这 些 参数 在 堆 中 
也 是 可 以 找到 的 ， 比 如 : 指向 文件 的 指针 、 指 向 函数 的 指针 。 选 取 一 个 容易 受到 攻击 的 程序 ,在 
这 个 程序 中 ， 定 义 了 待 写 人 数据 的 (临时 ) 文件。 然后 创建 一 个 缓冲 区 溢出 ， 它 使 用 一 个 指向 目标 
文件 的 指针 来 覆盖 掉 了 指向 暂时 文件 的 指针 ， 其 中 目标 文件 可 以 是 口令 文件 之 类 的 。 现 在 ， 程 序 就 
可 以 访问 目标 文件 了 ， 而 且 攻击 者 还 可 以 对 目标 文件 进行 写 操作 。 郑 数 指针 int ( function) (char * 
str) 允许 程序 员 动 态 修改 要 调用 的 函数 。 执 行 时 ， 通 过 指针 指向 的 函数 就 会 被 调用 。 当 一 个 缓冲 
溢 除 覆盖 掉 了 函数 指针 时 ， 那 么 由 攻击 者 定义 的 函数 就 会 被 执行 。 函 数 指针 的 利用 需要 一 个 可 
执行 的 堆 。 

攻击 代码 可 以 作为 一 个 参数 传递 给 程序 ， 这 样 它 就 可 以 存储 在 栈 中 。 这 种 方法 需要 一 个 可 
执行 的 栈 。 或 者 是 ， 攻 击 者 可 以 估计 一 段 距 离 ( 偏 移 量 ) ， 这 段 距 离 就 是 发 生 溢 出 的 目标 缓冲 区 
地 址 和 堆 中 shellcode(/bin/sh) 位置 之 间 的 距离 。 这 种 方法 用 于 可 执行 堆 。 堆 被 执行 的 可 能 性 要 
比 栈 大 得 多 。“ 堆 溢出 ”原来 仅仅 做 为 理论 兴趣 研究 ， 而 现在 到 处 都 可 以 看 到 它们 的 身影 。 

经 验 教训 

重 定向 指针 是 攻击 系统 非常 有 效 的 方式 。 


14.4.7 类 型 混淆 


用 类 型 安全 (内 存 安全 ) 的 语言 写 的 程序 ， 不 能 用 不 恰当 的 方式 访问 内 存 。 一 个 著名 的 例子 
就 是 Java 程序 语言 。 每 一 个 Java 对 象 都 是 一 个 类 的 实例 。 我 们 只 可 以 操作 一 个 给 定 类 的 某 些 对 
Zo Java 虚拟 机 通过 使 用 带 对 象 类 标记 的 指针 在 内 存 中 跟踪 对 象 。 静 态 的 和 动态 的 类 型 检查 都 应 
该 避免 对 类 和 对 象 提供 抽象 型 的 访问 。 自 动 垃圾 清理 任务 机 制 ， 会 进一步 对 内 存 进 行 管理 。 

一 个 类 型 混淆 (type confusion) 攻击 ， 可 以 操作 指针 结构 ， 使 得 两 个 指针 指向 同一 个 对 象 ， 其 
中 一 个 指针 有 错误 的 类 型 标记 。 因 此 这 个 对 象 就 会 被 能 够 访问 这 个 错误 类 型 的 第 三 方 操控 。 比 
如 ， 假 设 有 一 个 可 信 的 对 象 4， 类 型 是 Tr。 但 一 个 攻击 者 成 功 地 用 一 个 不 可 信 的 Un 类 型 对 象 X 
的 指针 来 指向 内 存 中 同一 段 缓 冲 区 的 时 候 ， 那 么 可 信 对 象 4 就 会 像 类 型 Un 一 样 被 修改 掉 (图 
14-4) 。 常 常 (并 不 总 是 ) ， 一 个 类 型 混淆 攻击 可 能 延伸 到 整个 操作 系统 ， 并 且 可 以 随意 地 修改 掉 
对 象 。 类 型 混淆 攻击 很 少 发 生 ， 但 是 它们 的 确 发 生 过 。Sun 安全 公告 #00218(2002 年 3 月 18 日 ) 
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就 预警 过 Java 虚拟 机 执行 上 的 一 个 问题 。 在 2004 年 的 时 候 ， 还 报告 过 Java’ 的 移动 电话 上 的 一 
个 攻击 。 








索引 表 内 存 区 
图 14-4 ”类 型 混淆 冲突 


网 景 公司 3.085 版 本 的 Navigator 就 有 一 个 漏洞 ， 这 个 漏洞 允许 简单 的 类 型 混淆 攻击 
(McGraw and Felten ，1997) 。 但 是 这 个 漏洞 在 3. 0B6 版 本 上 被 补 上 了 。Java 程序 中 允许 使 用 类 
型 T， 和 数组 类 型 T。 定 义 数组 类 型 仅仅 为 内 部 使 用 ， 它 们 的 名 字 也 是 以 [符号 开头 的 。 程 序 员 
自己 定义 的 类 名 是 不 允许 以 这 个 字符 开头 的 。 这 样 就 不 会 有 冲突 的 危险 性 存在 。 但 是 一 个 Java 
的 字 节 码 文件 可 以 把 他 自己 的 名 字 申 明 为 一 个 专门 的 数组 类 型 名 字 ， 这 样 就 可 以 重新 定义 一 个 
Java 数组 类 型 。 

GovinDavajhal and Appel (2003) 描 述 了 一 个 使 用 随机 内 存 错误 、 设 计 精巧 的 类 型 混淆 冲突 。 
这 种 攻击 策略 用 来 创建 一 个 数据 结构 。 在 这 个 数据 结构 中 ， 一 个 随机 的 内 存 错 误 很 可 能 改变 某 个 
引用 ， 这 样 它 就 可 能 指向 一 个 错误 的 对 象 。 为 了 达到 这 个 目的 ， 我 们 现在 来 创建 两 个 类 4 和 类 B: 


class A{ class B 
Aal; Aal; 
A a2; A a2; 
Bb; A a3; 
Aad; A a4; 
A a5; A a5; 
int i; A a6; 
A a7; Aal; 

he he 

攻击 的 过 程 如 下 : 


(1) 用 类 型 B 的 许多 对 象 装 满 内 存 区 ， 并 且 在 位 置 x 处 用 类 型 4 的 一 个 单独 的 对 象 填充 。 使 
得 8B 中 所 有 的 A 成员 都 指向 这 个 A 对 象 。 

(2) 不 断 地 扫描 BHR, 并 且 检 查 它 的 4 成 员 域 ， 直 到 检查 出 一 个 内 存 错 误 出 来 为 止 。 在 内 
存 的 必 片 上 点 燃 一 蔓 明 亮 的 灯泡 ， 是 一 种 已 证 明 的 引起 内 存 区 错误 的 方法 。 

(3) 假 设 在 5 对象 的 字段 a 处 的 i 位 上 ， 出现 了 转换 。 那 么 创建 一 个 4 类 型 的 指针 >， 并 且 设 
置 r=b' a'。 

(4) 创 建 一 个 B 类 型 的 指针 gq， 并 且 把 + B 字段 作为 gq 的 引用 ， 比 如 : q =r.b。 

如 果 有 内 存 错误 ， 那 么 ~ 就 会 包含 地 址 x， 而 且 我 们 也 可 以 通过 从 地 址 x + 偏 移 量 的 方法 得 
到 4 的 值 ， 这 个 偏 移 量 (offset) 指 的 是 一 个 4 对 象 的 基地 址 和 它 的 2 成 员 变量 的 起 始 地 址 之 间 的 
一 段 距离 。 但 是 ， 因 为 存在 内 存 错误 ， 就 会 使 得 r 包含 地 址 x92 ， 并 且 只 能 从 (x@2: ) + 偏 移 量 
得 到 4 的 值 。 给 出 攻击 中 的 内 存 布 局 ， 就 很 有 可 能 得 到 4 对 象 的 地 址 x。 现 在 我 们 有 一 个 4 类 型 





© Adam Gowdiak : Java 2 的 一 个 很 微小 的 安全 漏洞 ， 在 2004 年 马来西亚 吉隆 坡 举行 的 安全 会 议 上 有 所 讨论 。 
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的 指针 p， 它 包含 了 x， 同时 有 一 个 BAMA a, CEEE x。 这 样 ， 类 型 混淆 攻击 就 完 
成 了 。 

经 验 教训 

对 硬件 层 的 攻击 可 以 削弱 这 个 层 之 上 的 安全 控制 。 


14.4.8 疯狂 的 电脑 黑客 


有 时 候 ， 一 个 软件 的 开发 者 可 以 跨 过 抽象 层 ， 而 直接 控制 内 存 的 条 目 。 错 误 也 可 能 导致 漏 
洞 ， 这 一 点 可 以 在 下 面 一 个 很 有 历史 意义 的 故事 中 说 明 。 在 这 里 受到 影响 的 操作 系统 是 ICL 的 
VME/B 操作 系统 。 下 面 我 们 将 逐一 讲述 该 故事 。 

VEM/B 在 文件 描述 符 中 存放 文件 信息 。 用 户 : STD 拥有 所 有 的 文件 描述 符 。 但 是 如 果 一 旦 
文件 描述 符 在 不 同 的 安全 层次 上 被 分 类 了 ， 那 么 这 就 会 有 麻烦 。 正 是 因为 这 个 原因 ,: STD 不 能 
访问 分 类 的 文件 描述 符 。 结 果 是 ， 这 些 文件 描述 符 就 不 能 在 正常 的 备份 中 被 存储 下 来 。 解 决 方式 
很 简单 。 创 建 一 个 新 的 用 户 : STDACLASS， 让 它 常 管 分 类 的 文件 描述 符 。 这 种 特性 因此 就 很 快 
地 在 升级 的 系统 中 被 包含 了 。 

用 户 : STD/CLASS 除了 拥有 文件 描述 符 ， 再 也 不 会 拥有 其 他 的 目的 了 。 因 此 ， 对 于 任何 要 
想 使 用 : STD/CLASS 登录 的 人 来 说 ， 这 个 名 字 并 不 是 他 们 所 期 期 望 的 ， 也 不 是 必要 的 。 为 了 使 
登录 不 可 能 ,: STD/CLASS 的 口令 可 定义 成 Retum 键 。 没 人 能 够 登录 ， 因 为 Retum 经 常会 被 解 
释 成 为 口令 的 分 割 符 ， 而 不 是 口令 的 一 部 分 。 用 户 的 配置 文件 中 ,口令 是 通过 修补 16 进 制 代码 来 
设置 的 。 不 幸 的 是 ,错误 的 字段 被 修改 了 ， 出 现 了 一 个 不 能 识别 安全 级 别 的 用 户 ， 而 不 是 一 个 不 能 
登录 的 用 户 。 不 能 识别 安全 级 别 会 被 解释 成 为 "不安 全” ， 因 此 设计 者 们 就 不 会 达到 他 们 的 目的 。 

不 过 仍然 留 下 了 一 道 防线 。 用 户 : STD/CLASS 只 能 从 主 控制 台 上 登录 。 但 是 一 且 主 控制 台 
掉 电 了 ， 控 制 连接 的 下 一 个 设备 就 会 被 认为 是 主 控制 台 。 

这 个 缺陷 是 被 一 个 黑客 所 开发 出 来 的 ， 当 时 他 自己 也 在 操作 VME/B 系统 。 因 此 他 自己 就 有 
足够 的 机 会 来 进行 细节 分 析 和 试验 。 他 在 夜里 当 没 有 人 坚守 的 时 候 ， 通 过 拨号 上 网 的 方式 冯 人 
许多 大 学 计算 机 中 ， 修 改 和 删除 系统 和 用 户 文件 ， 留 下 一 些 来 自 The Mad Hacker 的 消息 。 但 是 
他 被 成 功 地 跟踪 了 ， 并 且 被 带 到 了 法 庭 里 ， 被 判 人 狱 (根据 英国 1971 年 的 犯罪 条 款 ) 。 这 是 英国 
第 一 起 黑客 判 罪 ,在 1991 年 得 到 了 地 区 法 院 的 支持 。 


14. 4.9 AS/400 机 器 接口 模板 


AS/400 ( 应 用 系统 400) 被 认为 是 IBM 的 一 款 操作 系统 ， 它 在 财政 部 门 的 中 等 计算 机 中 很 流 
行 ， 也 被 认为 是 比较 安全 的 。 在 AS/400 系统 中 ， 开 发 者 很 容易 访问 到 操作 系统 以 下 的 层 。 被 作 
为 是 机 器 接口 模板 (machine interface template) 的 机 器 语言 程序 ， 并 不 受制 于 操作 系统 的 安全 控制 
之 中 。 机 器 接口 模板 起 初 被 有 经 验 的 AS/400 开发 者 用 于 提升 软件 性 能 。 但 是 ， 有 了 这 种 技术 
后 ， 也 有 可 能 修改 掉 ( 或 覆盖 ) 对 象 ， 从 而 改变 安全 设置 。 

IBM 起 初 通过 移 除 一 些 具 有 破坏 性 质 的 机 器 接口 命令 ， 并 使 用 一 个 语法 检查 器 来 检查 那些 
在 机 器 接口 模板 下 的 命令 ,试图 停止 这 些 修 改 。 语 言 检查 器 指 的 是 一 个 合法 命令 表 。 一 旦 软件 开 
发 者 发 现 了 检查 是 怎样 执行 后 ， 他 们 就 会 简单 地 用 一 个 包含 所 有 原始 命令 的 表 来 替换 IBM 的 表 。 
下 一 步 就 是 保护 操作 系统 的 完整 性 ，AS/400 把 用 户 态 和 系统 态 分 开 ， 同时 把 用 户 区 域 和 系统 区 
域 分 开 。 在 用 户 区 域 的 系统 态 程序 就 会 提供 给 用 户 访问 受 保护 软件 的 权利 ， 这 就 像 数 据 库 管 理 
系统 一 样 。 关 于 技术 上 的 讨论 ， 以 及 更 多 的 关于 AS/400 的 信息 和 在 操作 系统 安全 上 更 好 的 建议 
可 以 在 Park(1995 ) 中 找到 。 
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14.5 数据 和 代码 


在 评估 一 个 系统 的 安全 性 时 ， 数 据 和 代码 可 能 是 重要 的 抽象 概念 。 但 一 个 以 输入 形式 出 现 
的 数据 被 执行 时 ， 这 个 抽象 就 会 被 打破 ,攻击 也 可 能 发 生 。 下 面 的 例子 中 都 可 以 说 明 ， 作 为 输入 
形式 而 接受 到 的 数据 可 能 不 是 程序 员 所 期 望 的 。 


14.5.1 远程 登录 漏洞 
UNIX 的 登录 命令 格式 是 : 


login[-p][-h<host >][[-£] <user>] 
其 中 -f 选项 强制 登录 。 用 户 也 不 必 输 入 口令 。 而 rlogin( 远程 登录 ) 命令 允许 用 户 登 录 远 程 的 机 
器 。 这 条 命令 的 格式 是 : 
rlogin [-1<user > ] <machine > 
而 远程 登录 的 守护 进程 占用 这 个 命令 中 的 第 一 个 参数 ， 并 且 会 把 登录 请 求 发 送 给 在 第 二 个 参数 
中 命名 的 主机 。 某 些 Linux 和 AIX 版 本 不 会 检查 名 字 域 的 语法 。 所 以 请 求 
rlogin -1 -froot machine 
就 会 导致 
Login - froot machine 
即 ， 在 指定 的 机 器 上 ， 使 用 一 个 强制 的 登录 作为 根 目 录 。 这 个 问题 是 由 两 条 命令 的 复合 引起 的 。 
每 条 命令 本 身 并 没有 漏洞 。 而 远程 登录 进程 的 语法 检查 能 避免 这 个 攻击 。 


14.5.2 脚本 


脚本 语言 是 常用 于 书写 网 络 应 用 程序 的 一 种 解释 性 语言 。 这 种 语言 有 : Perl, PHP, Python, 
Tcl 或 是 Safe- Tcl。 公 共 网 关 接 口 (Common Gateway Interface, CGI) 是 一 种 标记 性 语言 ， 它 把 统 
一 资源 定位 器 (Uniform resource locator, URL) 和 html 形式 翻译 成 可 执行 的 程序 。 这 些 程序 可 以 
是 任何 满足 一 些 标准 的 CGI 需求 的 语言 书写 的 ， 包括 先前 提 到 的 那些 语言 。 图 14-5 描述 了 CGI 
的 基本 规则 。 客 户 端 发 送 一 个 URL 和 html 表格 给 服务 器 ， 指 定 一 个 CGI 脚本 和 它 的 输入 参数 。 
这 种 请 求 就 会 被 请 求 就 会 转化 成 用 户 的 服务 器 的 程序 可 以 执行 的 程序 。 网 络 服务 器 可 以 调用 应 
用 程序 ， 如 服务 器 端 包含 (Server- Side Include, SSI), $H SSI， 在 服务 器 上 的 文档 就 可 以 包括 
系统 命令 ， 这 称 为 SSL 协调 。 当 客户 端 请 求 一 个 这 样 的 文档 后 ， 这 些 系统 命令 就 会 被 评估 ， 结 
果 也 会 被 插入 到 一 个 返回 给 客户 的 文档 中 去 。 





图 14-5 服务 器 执行 CGI 脚本 
一 个 简单 的 例子 即 可 以 说 明 CGI 脚本 会 怎样 引起 破坏 。 一 个 发 送 给 服务 器 的 脚本 可 能 像 这 样 : 


Cat thefile | mail clientaddress 


在 这 里 thefile 是 文件 的 名 字 ，clientaddress 是 客户 端的 邮件 地 址 。 一 些 恶意 的 用 户 可 能 会 输 
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A user@ address | rm-x 作为 邮件 地 址 。 服 务 器 就 会 执行 


cat thefile | mail user@ address | rm-rf / 


而 且 ， 在 把 文件 邮 给 用 户 后 ， 服 务 器 删除 所 有 脚本 允许 的 删除 的 文件 。 就 像 在 任何 其 他 可 以 控制 
的 请 求 中 一 样 ， 对 CGI 脚本 的 输入 也 应 该 进行 过 滤 。 被 调用 的 操作 越 强 ， 你 就 越 应 该 对 要 接收 
的 输入 小 心 仔细 地 查看 。SSI 可 能 会 非常 的 强大 。SSL 协调 的 具体 格式 是 : 


<! - # operator argi ="stringl “arg2="string2"...... -> 
最 后 的 适应 性 是 操作 符号 exec 使 用 参数 cmd 来 提供 的 。SSL 在 线 
` < !- #exec cmd = "myprogram myparameteres"™ -ee > 


46 BARAT T FIFE myprogram myparameters to /bin/sh 。( 这 个 选项 可 以 通过 在 服务 器 的 多 
个 选项 中 声明 Options IncludesNOEXEC 来 禁用 。) 恶意 可 以 来 自 于 程序 中 ， 如 果 myparameters 包 
括 一 个 shell 转 义 符 的 话 ， 也 可 以 是 了 来 自 于 一 个 不 相关 的 程序 的 参数 。 不 转 义 操作 通过 注解 转 
义 字符 ”的 方式 ， 去 除了 来 自 客户 端的 shell 转 义 字符 。 命 令 : 
unescape "stringl; string2" 

返回 的 是 "string1…string2" 。 像 Perl 这 样 的 脚本 语言 ， 也 会 作 一 些 不 转 义 操作 。 但 是 对 转 义 字符 
的 过 滤 必 须知 道 使 用 集中 所 用 的 转 义 字符 ， 这 是 一 件 很 麻烦 事情 ， 正 如 CERT Advisory CA-2002-2 
中 讲述 的 一 样 。 


14. 5.3 SQL 插入 


SQL 是 广泛 使 用 的 一 种 数据 库 查询 语言 。 应 用 程序 可 以 处 理 来 自 网 页 中 的 SQL 查询 来 访问 
数据 库 ， 比 如 在 交互 网 站 上 创建 动态 网 页 。 恶 意 的 用 户 输入 ， 会 被 处 理 来 破坏 开发 者 的 设计 意 
图 。 考 虑 一 下 下 面 的 对 客户 端 数据 库 的 查询 : 


string sql="select * from client where name =' "+name +"”'™" 

原本 的 意图 是 处 理 类 似 : select * from client where name = ‘Bob’ 的 查询 。 但 是 当 一 个 攻击 
者 输入 Bob’ OR 1 =1-- ff, 查询 就 会 被 这 样 处 理 : 

select * from client where name ='Bob' OR1=1--" 

在 读 入 参数 WHERE 字句 的 时 候 ， 要 进行 一 些 逻 辑 上 的 分 割 ,“name = “Bob’” 和 “1 = 1”, 
还 有 - -会 被 当成 注解 的 起 始 部 分 进行 读 人 。 参 数 假定 是 正确 的 ， 所 以 这 样 的 分 割 也 认为 是 正确 
的 。 整 个 客户 端 数据 库 都 会 被 选取 。 另 一 个 恶意 的 输入 是 : Bob’ drop table client --。 

作为 一 种 应 对 措施 ， 我 们 会 过 滤 掉 一 些 非法 的 字符 串 输 入 ， 并 且 用 安全 的 字符 来 代替 它们 。 
在 我 们 的 例子 中 ， 单 引号 (用 来 结束 一 个 参数 ) 可 以 被 双 引 号 (用 来 结束 查询 ) 替 代 ， 这 样 刚 才 描 
述 到 的 攻击 就 会 被 阻止 。 但 是 ， 这 不 会 让 人 满意 的 ， 因 为 若 要 阻止 一 类 攻击 ， 那 么 就 必须 知道 所 
有 的 非法 字符 。 

经 验 教 训 

不 要 试图 去 了 解 娜 些 输入 是 不 正确 的 。 而 应 该 定义 哪些 输入 是 正确 的 ， 例 如 ， 使 用 规则 的 表 
达 式 ， 并 只 接受 正确 的 输入 。 


14.6 竞争 条 件 
当 多 个 计算 操作 访问 共享 数据 ， 而 且 这 些 操作 的 结果 会 依赖 于 访问 的 顺序 的 时 候 ， 就 创造 了 





O ” 转 义 字符 意味 着 它 后 面 的 数据 会 在 不 同 的 上 下 文中 被 解释 。 





KH ES 167 





竞争 条 件 。 就 像 在 Java servlet 中 一 样 ， 当 有 多 个 进程 ， 或 是 在 一 个 多 线程 的 进程 中 有 多 个 线程 ， 
要 访问 同一 个 变量 的 时 候 ， 这 是 可 能 发 生 的 。 攻 击 者 会 在 一 个 变量 被 核实 后 而 又 在 受害 者 使 用 
它 之 前 ， 试 图 利用 竞争 条 件 来 改变 这 个 变量 。 这 个 话题 在 安全 文献 中 被 称 为 是 TOCTOU(time of 
check to time of use) 。 

我 们 给 出 一 个 在 20 世纪 60 年 代 有 关 CTSS 系统 (一 个 早期 的 分 时 系统 ) 的 历史 性 例子 。 我 们 
的 故事 的 如 此 开始 (Corparo，7997 ) : 


曾经 ， 一 个 用 户 发 现 口令 文件 被 看 成 是 “当天 消息 ”。 

发 生 什么 了 呢 ? 在 CTSS 中 ， 每 个 用 户 瞧 一 对 应 着 一 个 自己 的 根 目 录 。 但 一 个 用 户 调用 了 编 
辑 器 后 ， 该 目录 下 都 会 创建 一 个 草稿 文件 ( scratch file) 。 这 个 草稿 文件 有 一 个 固定 的 名 字 ， 比 如 
说 SCRATCH， 当 然 具体 取决 于 正在 编辑 的 文件 的 名 字 。 这 是 一 个 很 合理 的 设计 思路 ， 因 为 一 个 
用 户 每 一 次 只 能 运行 一 个 应 用 程序 。 其 他 任何 人 都 不 能 在 另 一 个 用 户 个 人 的 目录 下 工作 。 因 此 ， 
到 目前 为 止 ， 还 没有 必要 为 编辑 器 提供 一 个 以 上 的 草稿 文件 。 而 且 ， 系 统 也 会 被 看 成 一 个 拥有 它 
自己 目录 的 用 户 。 在 同 平台 上 ， 几 个 用 户 会 作为 系统 管理 员 同 时 工作 。 在 同一 个 时 间 ， 人 允许 多 个 


系统 管理 员 同 时 工作 (访问 系统 目录 ) ， 这 看 起 来 十 分 的 方便 。 现 在 来 演示 如 何 执行 这 个 特点 (图 
14-6); 


welcome welcome welcome 


passwords passwords igP/hEvZ passwords igP/hEvZ 








igP/hEvZ igP/hEvZ 
1. 编辑 消息 2. 编辑 口令 ` 3. 保存 消息 


图 14-6 在 CTSS 中 共享 草稿 文件 


(1) 系统 的 管理 员 开 始 编辑 一 天 的 信息 : SCRATCH; = MESS; 

(2) 然 后 第 二 个 系统 管理 员 编 辑 口 令 文件 ，SCRATCH: + =PWD; 

(3) 并 且 第 三 个 系统 管理 员 存 储 编辑 的 文件 。 所 以 我 们 将 得 到 MESS; = SCRATCH = PWD, 

经 验 教训 ' 

原子 事务 (atomic transaction ) 是 一 种 操作 的 一 种 抽象 ， 这 种 操作 应 该 作为 一 个 单独 的 单元 被 
执行 。 当 这 种 操作 在 执行 的 时 候 ， 不 允许 其 他 任何 操作 发 生 。 这 种 抽象 是 使 用 锁 机 制 来 实现 的 ， 
它 能 够 包含 事务 中 所 需要 的 访问 的 资源 。 锁 机 制 的 一 个 简单 的 例子 就 是 Java 中 的 同步 (synchro- 
nized) 关键 字 。 在 Java 中 ， 保 护 原子 事务 很 重要 ， 因 为 Java 是 多 线程 程序 。 但 是 这 项 任务 会 留 
给 程序 员 来 完成 。 添 加 同步 机 制 的 弊端 是 : 会 影响 性 能 。 


14.7 防御 


我 们 可 能 会 单独 地 对 待 出 现 的 问题 ， 并 且 寻 找 专 门 的 解决 办 法 ， 这 仅仅 限于 特定 的 程序 设 
计 语 言 和 运行 时 系统 上 。 这 实际 上 是 在 元 级 层次 上 的 渗透 和 补丁 (penetrate- and- patch) 。 相 反 地 ， 
一 般 我 们 应 该 能 辨别 出 一 种 通用 的 模型 来 。 在 安全 软件 的 情况 下 ， 那 些 重复 的 模型 是 一 些 熟悉 
的 程序 抽象 ， 如 变量 ， 数 组 ， 整 数 ， 数 据 和 代码 ， 地 址 (资源 定位 器 ) 或 是 以 一 种 可 能 破坏 抽象 
的 方式 执行 的 原子 事务 。 

软件 安全 问题 存在 于 处 理 器 结构 中 ， 我 们 使 用 的 编程 语言 中 ， 我 们 遵循 的 代码 规范 中 ， 编 译 
时 检查 中 (如 canaries) ， 以 及 软件 开发 和 配置 中 。 
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14.7.1 防止 : 硬件 


很 多 缓冲 区 溢出 攻击 会 覆盖 控制 信息 。 这 样 的 攻击 通过 硬件 特征 来 保护 控制 信息 就 可 以 防 
ik. Intel 的 Itanium 处 理 器 就 有 一 个 专门 用 于 返回 地 址 的 独立 的 寄存 器 。R. B. Lee et al. (2003) W 
述 了 有 独立 的 安全 返回 地 址 栈 (SRAS ) 的 处 理 器 结构 。 在 硬件 级 加 入 保护 机 制 时 ， 没 有 必要 重 写 
或 者 重新 编译 程序 。 只 需要 修改 一 些 处 理 器 指令 。 但 是 ， 这 样 做 除了 需要 新 的 硬件 以 外 也 还 有 一 
些 缺点 。 现 有 的 软件 可 能 不 能 正常 工作 ， 如 : 栈 中 的 可 执行 代码 或 者 多 线程 代码 。 


14.7.2 防止 : 类 型 安全 


我 们 可 以 通过 使 用 一 种 防止 我 们 犯错 误 的 程序 设计 语言 来 阻止 软件 漏洞 。 类 型 安全 (type 
safty ) 可 以 保证 我 们 不 会 出 现 一 些 捕获 不 到 的 错误 ( Cardelli，1997) 。 类 型 安全 语言 包括 Java 和 
C#。 语言 不 必 保 证 类 型 安全 ， 比 如 LISP 语言 。 安 全 可 以 通过 动态 检测 和 动态 运行 时 检测 来 保 
证 。 编 译 时 静态 类 型 检测 是 指 检测 操作 数 在 执行 期 间 得 到 的 参数 是 否 都 是 正确 的 。 动 态 类 型 检 
测 要 比 运行 时 静态 类 型 检测 复杂 得 多 。 但 是 它 会 导致 更 快 的 执行 效率 ， 因 为 困难 的 工作 提前 就 
已 经 完成 了 。 

对 与 开发 者 而 言 ， 类 型 安全 常常 意味 的 仅仅 是 “内 存 完整 ”。 而 对 于 研究 理论 的 人 来 说 ， 类 
型 安全 意味 的 是 “执行 的 完整 性 "， 并 且 后 者 现在 更 加 相关 些 。 有 了 类 型 安全 后 ， 我 们 就 能 够 靠 
近 “ 近 乎 安全 的 软件 ”， 但 是 也 存在 一 些 警示 。 很 难 完整 地 证 明 类 型 安全 ， 而 且 也 有 可 能 会 有 一 
些 问题 隐藏 在 实际 执行 的 时 候 (参见 14. 4.7 节 ) 。 更 加 困难 的 问题 是 ， 必 须 精确 地 定义 执行 完整 
性 对 与 一 个 给 定 的 软件 成 分 (如 操作 系统 ) 来 说 意味 着 什么 。 因 此 ， 我 们 经 常 使 用 的 类 型 安全 属 
性 对 于 安全 而 言 很 有 用 ， 但 是 这 并 不 表示 一 定 就 是 安全 的 。 


14.7.3 预防; 更 安全 的 函数 


C 和 C++ 中 ， 作 为 一 个 软件 开发 者 ， 你 必须 避免 写 一 些 可 能 会 导致 缓冲 超 限 的 代码 。C 就 是 
因为 它 的 字符 串 处 理 函 数 ， 例 如 strcpy, sprintf 或 gets 而 臭名 昭著 的 。 下 面 以 stremp 为 例 来 说 明 : 


char * strncpy( char * strDest, const char * strSource ); 


如 果 源 缓冲 区 或 是 目标 缓存 区 是 空 的话 ， 那 么 就 会 出 现 一 个 例外 。 如 果 字 符 串 不 是 空 结束 
的 话 ， 结 果 就 不 确定 了 ， 而 且 也 不 会 检测 目标 缓冲 区 是 否 足够 的 大 。 我 们 用 更 安全 的 函数 来 代替 
不 安全 的 函数 是 明智 的 ,在 安全 的 函数 中 ， 要 处 理 的 字 节 数 或 字符 数 都 应 说 明 清 楚 ， 比 如 
strncpy, _ snprintf 或 fgets。 函 数 stmcpy 的 说 明 如 下 : 

char * strncpy( char * strDest, const char * strSource, size_t count ); 

使 用 安全 的 字符 串 处 理 函 数 ， 它 本 身 并 不 能 根除 缓冲 超 限 。 你 还 必须 知道 字 节 数 ， 并 且 保 证 
计算 是 正确 的 。 你 必须 知道 数据 结构 的 精确 的 最 大 长 度 。 当 各 个 数据 结构 都 在 一 个 函数 中 使 用 
的 时 候 ， 这 可 能 会 比较 简单 的 ， 但 是 如 果 各 个 数据 结构 在 多 个 程序 之 间 共 享 的 时 候 ， 那 么 这 就 可 
能 会 比较 困难 了 。 如 果 你 低估 了 缓冲 区 所 需 的 长 度 ， 那 么 代码 可 能 会 不 可 靠 ， 甚 至 崩溃 。 可 以 配 
置 一 些 编译 器 来 检测 那些 不 安全 的 函数 。 


14.7.4 “检测 :代码 检查 


人 工 代码 检查 非常 繁琐 ， 而 且 也 容易 出 错 ， 因 此 希望 让 它 实 现 自动 检查 。 代 码 检查 工具 会 扫 
措 代码 ， 和 寻找 那些 潜在 的 安全 问题 。Ashcraft，Engler and Hallem et al. (2002) 就 介绍 了 一 种 对 C 
源 代码 使 用 元 汇编 的 工具 。 它 可 以 作为 一 个 专家 系统 ， 把 多 个 知名 的 安全 期 刊 上 规则 集成 起 来 。 
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这 些 规则 会 寻找 一 种 这 样 的 模式 : 
“不 可 信 源 一 洁净 检查 一 可 信 汇 点 ” 

如 果 一 个 不 可 信和 输入 在 没有 经 过 恰当 的 检查 而 直接 进入 汇 点 的 话 ， 那 么 就 会 出 现 警报 。 这 种 模 
式 也 可 以 用 来 学 习 新 的 规则 。 比 如 说 ， 如 果 代 码 分 析 只 是 一 个 检查 ， 而 没有 汇 点 的 话 ， 那 么 很 可 
能 这 种 规则 不 知道 汇 点 的 具体 种 类 。 如 果 的 确 是 这 样 ， 并 且 一 个 新 的 汇 点 已 被 辨别 出 来 ， 那 么 相 
应 的 规则 就 必须 添加 到 规则 库 中 。 代 码 检查 可 以 很 轻易 地 捕获 到 熟知 的 那些 问题 ， 但 是 也 不 能 
保证 就 没有 它 自 己 的 漏洞 ， 或 者 是 那些 被 标记 成 问题 的 就 一 定 是 错误 。 在 实践 开发 代码 分 析 工 
具 的 时 候 ， 要 保证 尽量 地 降低 发 生 错误 报警 的 几率 。 


14.7.5 检测 : 测试 


测试 也 是 软件 开发 中 的 一 个 完整 的 部 分 ， 一 般 用 来 证 明 函 数 的 正确 性 。 在 安全 测试 中 ， 情 形 
稍 有 不 同 ， 因 为 我 们 必须 指出 安全 函数 的 正确 性 。 这 就 意味 着 我 们 必须 知道 潜在 的 威胁 ， 分 析 威 
胁 后 ， 还 要 提出 一 些 安全 测试 所 需要 的 输入 数据 。 测 试 也 不 能 保证 没有 错误 出 现 ， 同 样 也 不 能 作 
为 证 据 。 证 据 仅仅 表明 我 们 在 所 用 的 抽象 中 ， 寻 找到 那些 错误 似乎 没有 的 。 

在 白金 测试 (white- box testing) 中 ， 测 试 者 知道 源 代码 的 各 个 组 成 部 分 ， 并 且 能 够 使 用 这 些 
信息 来 进行 测试 。 黑 盒 测试 中 ,测试 者 并 不 知道 源 代码 。 黑 盒 测 试 (black- box testing) 的 一 个 著 
名 的 例子 是 对 简单 网 络 管理 协议 (SNMP ) 执行 的 安全 分 析 ， 这 是 由 Oulu 大 学 安全 程序 组 完成 的 
(参见 CERT Advisory CA-2002-03 ) 。 

经 验 教训 

你 并 不 需要 源 代码 来 观测 内 存 是 怎样 使 用 的 ， 或 测试 输入 能 和 否 恰当 的 检测 。 实 际 上 ， 知 道 一 
个 软件 成 分 高 层 部 分 的 说 明和 它 的 接口 ， 要 比 只 拥有 源 代 码 有 用 的 多 。 

对 于 安全 测试 最 重要 的 也 是 通用 的 一 项 技术 就 是 数据 突变 (data mutation), (Howard and 
LeBlance，2003) 。 数 据 突变 是 向 程序 接口 发 送 的 异常 的 输入 数据 。 对 于 安全 测试 来 说 ， 随 机 的 
输入 并 不 是 特别 有 用 。 他 们 测试 究竟 那些 不 可 预知 的 数据 是 怎样 处 理 的 ， 但 是 通常 情况 下 ， 并 没 
有 很 多 代码 会 被 测试 ， 因 为 许多 输入 会 被 简单 的 输入 检查 过 滤 掉 ， 或 者 这 些 输 入 可 能 和 代码 相 
互 冲突 。( 当 代码 发 生 冲 突 的 时 候 ， 就 要 检查 是 否 返回 的 地 址 已 经 被 输入 数据 覆盖 掉 了 ， 这 表 
明代 码 也 容易 引起 缓冲 超 限 。) 也 有 部 分 的 输入 会 试图 穿 过 第 一 层 防 线 ， 然 后 去 检验 更 多 的 
代码 。 

对 于 数据 容器 来 说 ， 数 据 突 变 可 能 会 引起 以 下 一 些 情况 出 现 。 程 序 创建 的 容器 已 经 存在 了 。 
如 果 软 件 试图 创建 一 个 新 的 临时 文件 ， 但 该 文件 又 已 经 存在 的 话 ， 那 么 软件 就 可 能 会 月 演 。 而 程 
序 试图 访问 的 容器 不 实际 存在 。 比 如 说 ， 在 Windows 中 的 NULL DACL。 如 果 没 有 DACL 的 话 ， 
访问 允许 就 不 会 被 检查 ， 并 且 访 问 会 被 授予 权限 。 程 序 也 就 不 能 访问 容器 了 ， 或 是 访问 就 会 受 限 
制 。 设 置 一 些 允 许 权 限 ， 这 样 就 可 以 使 得 测试 的 组 件 不 能 访问 容器 ， 或 是 提供 不 充分 的 访问 权 
限 。 如 果 容 器 的 名 字 改 变 了 ， 测 试 一 下 会 发 生 什么 ， 并 且 使 用 那些 与 其 他 文件 相 联系 的 文件 名 来 
测试 一 下 代码 ， 看 看 又 会 发 生 什么 。 

对 于 数据 而 言 ， 测 试 案例 应 该 包括 空 ( 就 是 无 值 ， 看 看 如 果 输 入 字段 为 空 ， 会 发 生 什 么 )， 
零 ， 错 误 的 符号 ( 它 致使 Ariane 5 火箭 的 坠落 2 ) ， 错 误 的 类 型 ， 超 出 界限 的 输入 ， 以 及 有 效 和 无 
效 数 据 混合 的 输入 (利用 有 效 的 数据 来 输入 检查 ， 这 样 就 又 可 能 处 理 无 效 的 数据 )。 测 试 案例 也 
应 该 包括 那些 输入 过 长 ， 或 者 输入 过 短 的 情况 。 如 果 一 个 应 用 程序 要 求 固定 长 度 的 输入 ， 而 输入 
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的 数据 长 度 得 不 到 满足 得 情况 下 ， 安 全 问题 就 又 可 能 发 生 了 。 比 如 ，Graff and Wyk(2003) ， 就 描 
述 过 Sun tarball 的 漏 润 。 对 于 网 络 代 码 ， 测 试 案例 还 应 该 包括 之 前 协议 运行 的 回复 消息 ,或 是 非 
同步 消息 ， 零 碎 的 消息 ， 部 分 正确 的 协议 机 制 (用 来 测试 人 TCP SYS 之 类 的 泛 洪 攻击 ) ， 和 高 通 
信和 量 。 


14.7.6 缓和: 最 低 权 限 


在 两 种 情况 下 ， 可 以 使 用 最 低 权 限 规则 。 当 写 代码 的 时 候 ， 少 用 一 些 必须 的 权限 来 运行 代码 。 
如 果 可 以 使 用 尽 可 能 少 的 权限 来 运行 代码 的 话 ， 那 么 破坏 也 就 会 更 少 。 当 在 拓展 一 个 软件 系统 的 时 
候 ， 也 会 用 到 最 低 权 限 。 不 要 给 用 户 必 须 权 限 以 外 的 权限 。 不 要 激活 那些 你 不 需要 的 选择 。 

在 UNIX 中 ,发 邮件 程序 (sendmail program) 可 以 说 明 后 面 的 那个 问题 。 配 置 邮件 系统 的 系 
统管 理 者 需要 确定 所 有 的 消息 都 能 顺利 地 到 达 它 们 目的 地 。 如 果 在 网 络 节点 处 的 邮件 配置 能 够 
被 检测 到 ， 并 且 可 以 通过 远程 修改 ， 而 不 需要 系统 管理 员 通 过 登录 节点 ， 那 么 这 样 做 就 会 很 有 
用 。 为 了 达到 这 个 目标 ， 在 发 送 邮件 程序 中 包括 了 一 个 调试 (debug) 选 项 。 当 这 个 选项 转向 它 的 
目的 地 后 ， 在 邮件 消息 中 的 用 户 名 就 会 被 发 送 邮 件 程序 在 目标 系统 上 执行 的 代码 所 代替 。 这 种 
特征 是 因特网 上 蠕虫 攻击 的 一 方面 。 

经 验 教训 

过 去 ， 软 件 一 般 都 是 在 一 个 开发 的 体系 下 使 用 的 ， 附 带 有 各 种 的 访问 允许 权限 和 各 种 可 以 
激活 的 特征 。 应 该 轮 到 用 户 通 过 移 除 特征 和 附加 一 些 受 限 制 的 访问 权限 来 使 整个 系统 得 到 巩固 
了 。 今天 ， 软 件 更 像 是 在 一 个 封闭 的 系统 下 使 用 的 。 用 户 需要 开启 他 们 需要 的 特征 。 


14.7.7 反应 : 紧 跟 时 代步 伐 


当 发 现 一 个 软件 的 漏洞 时 ， 就 必须 先 确定 受 影响 的 代码 ， 同 时 需要 测试 一 个 修正 版 本 ， 用 户 
也 需要 将 新 的 补丁 程序 安装 到 原来 的 软件 上 ， 因 此 不 仅仅 是 软件 开发 商 需要 对 他 们 所 发 现 的 问 
题 作 出 及 时 的 反应 。 同 时 用 户 也 需要 采取 行动 ， 首先 要 知道 问题 在 哪里 。 根 据 Arbaugh, Fithen 
and McHugh( 2000) 的 调查 显示 ， 绝 大 数 软件 的 漏洞 被 暴露 的 时 候 ， 相 应 的 应 对 措施 已 经 找到 了 。 
图 14-7 是 来 自 于 这 样 的 报告 。 补 丁 对 于 潜在 的 攻击 来 说 ， 也 算是 一 种 资源 ， 因 为 他 们 提供 了 已 经 
被 移出 的 漏洞 的 一 些 信息 ， 然 而 在 其 他 有 些 地 方 ， 这 些 漏洞 可 能 仍然 还 存在 。 因 此 很 有 必要 讨论 
一 个 何 时 揭露 漏洞 和 发 布 补丁 的 恰当 方案 。 


-一 
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t,- 补丁 发 布 时 间 
ae, 时 间 L 攻击 脚本 发 布 时 间 


d P 


图 14-7 和 人 侵 的 生命 周期 (依据 Arbaugh, Fithen and McHugh(2000) 的 调查 。® 2000 IEEE) 


14.8 深层 阅读 


关于 编写 软件 安全 的 书 ， 现 在 已 有 很 多 的 选择 ， 比 如 : Viega and Mcgraw( 2003)，Harward 
and LeBlanc(2002), Graff and van Wyk(2003), Viega and Messier (2003) 以 及 McGraw (2003) 的 
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著作 。 各 种 缓冲 溢出 攻击 的 技术 细节 Fosrer(2002 ) 也 描述 过 了 。 如 果 你 对 攻击 背后 的 详情 有 兴趣 
的 话 ， 那 么 你 可 以 看 看 Stoll(1989), Shimomura( 1995) 和 Dreyfuss( 1997) 的 著作 。 对 于 一 般 的 读 
者 而 言 ， 可 以 查看 里 面 很 多 的 实际 的 事例 。 你 可 以 通过 CERT 顾问 获得 很 多 新 的 攻击 信息 ， 可 以 
发 幅 件 给 某 些 网 站 ( 如 http://www. securytifocus. com ) 或 是 到 软件 商 的 公告 栏 里 面 得 到 最 新 的 信 
息 。Phrack 杂志 列 出 了 软件 漏洞 的 许多 技术 细节 。 对 这 个 领域 的 历史 感 兴趣 的 人 ， 可 以 参看 一 下 
第 一 篇 关于 计算 机 蠕虫 的 论文 (Spoch and Hupp, 1982) 。 


14.9 练习 


练习 14. 1 ”下面 这 个 循环 会 终止 吗 ” 如 果 可 以 的 话 ， 那 么 是 在 多 少 次 循环 后 呢 ? 如 果 变 量 
的 类 型 是 无 符号 整 型 而 不 是 带 符号 的 整 型 ， 结 果 会 改变 吗 ? 

int i=1; 

int c=1; 

while(i >0) 

{ 

isi* 2; 


} 


练习 14. 2 ”对 于 在 14. 2. 2 节 中 讨论 的 连接 两 个 字符 串 的 缺陷 ， 给 出 一 个 改进 的 措施 。 

练习 14. 3 ”对 于 一 个 预警 机 制 的 另 一 种 可 以 代替 的 办 法 是 ， 把 NULL 值 放 在 返回 地 址 的 下 
面 的。 这 种 设计 的 基本 理由 是 什么 ? 这 种 办 法 在 什么 时 候 可 以 达到 它 的 目标 ， 它 的 个 是 之 处 又 是 
什么 呢 ? 

练习 14. 4 下 面 这 段 代码 采用 零 填 写 缓冲 区 ， 它 有 什么 缺陷 ? 怎样 解决 这 个 问题 ? 


char * buf; 
buf =malloc( BUFSIZ); 
memset (buf, 0, BUFSIZ); 


练习 14.5 UNIX 系统 中 ， 可 以 使 用 环境 变量 来 设置 应 用 程序 的 行为 。 一 个 调用 另 一 个 程序 
的 程序 ， 可 以 为 被 调 程序 设置 环境 变量 。 在 攻击 中 ， 怎 样 利 用 这 个 事实 呢 ? 程序 开发 者 又 该 应 用 
什么 措施 来 防御 呢 ? 

练习 14.6 假定 有 一 个 内 存 系统 ， 它 用 一 个 双 链 表 IDX 以 升序 的 方式 存储 空白 块 。 并 且 使 
用 下 面 的 宏 frontlink 来 将 大 小 为 8 的 空白 块 P 插 入 到 链表 中 去 。 可 以 通过 unlink 函数 把 空白 块 从 
列表 中 取出 来 。 如 果 有 一 个 块 ， 它 已 经 在 空白 块 列表 中 了 ， 却 要 求 被 加 入 进去 ， 而 且 之 后 还 要 从 
列表 中 移 除 ， 那 么 系统 会 有 什么 样 的 反应 呢 ? 


# define frontlink(A, P, S, IDX, BK, FD) 

(1 ]FD=start _of _bin( IDX); 

[2]while (FD! =BK&&S <chunksize(FD) ) 
{ 

[3] FD =FD- > fd; 
} 

[4]BK =FD- >bk; 

[5]P- >bk =BK; 

{6]P- >fd=FD; 

[7] FD- >bk =BK- >fd=P; 

} 


#define unlink(P, BK, FD) { 
[1] FD=P- > fd; 
[2]BK =P- >bk; 
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[3]FD- >bk =BK; 
[4]BK- > fd= FD; 
} 


练习 14.7 在 UNIX 系统 中 配置 一 个 网 络 服务 器 的 时 候 ， 如 果 要 应 用 最 小 特权 策略 ， 你 怎 
样 在 软件 部 件 上 设置 所 有 权 和 访问 许可 ? 

练习 14.8 据说 把 软件 的 漏洞 全 部 暴露 出 来 可 以 提升 软件 的 安全 性 。 当 发 现 一 个 漏洞 的 时 
候 ， 应 该 采取 那些 措施 来 使 得 问题 最 终 在 用 户 端 能 够 得 到 顺利 解决 呢 ? 一 步 步 分 系 讨论 到 底 应 
该 考虑 那些 问题 呢 ? 全 部 揭露 出 来 有 什么 优点 和 缺点 呢 ? 





第 15 章 新 的 访问 控制 范例 


随 着 因特网 和 万 维 网 的 发 展 ， 越 来 越 多 的 根本 没有 安全 意识 的 用 户 直 接 开 始 使 用 新 的 信息 
技术 产品 。 移 动 代 码 通过 因特网 传播 ， 在 客户 端 上 运行 。 电 子 商务 给 全 球 带 来 了 新 的 商机 。 我 们 
将 再 次 面临 当前 正 使 用 的 信息 技术 系统 的 巨大 改变 。 我 们 不 得 不 去 思考 下 面 的 问题 : 当前 的 安 
全 范例 仍然 适合 吗 ， 是 否 需 要 引入 新 的 策略 和 新 的 执行 机 制 。 

在 编写 本 书 的 此 刻 ， 这 个 过 渡 阶 段 还 没有 结束 。 一 些 新 的 有 关 新 环境 下 的 安全 策略 的 概念 
已 经 出 现 ， 但 还 需要 更 多 的 经 验 积累 才能 给 出 明确 的 建议 。 

目标 

。 开发 新 的 访问 控制 范例 。 

。 分 析 基 于 代码 的 访问 控制 范例 的 背景 和 基本 原理 。 

。 介绍 主要 的 安全 执行 算法 一 一 堆栈 游 走 ， 用 于 基于 代码 的 访问 控制 中 。 

。 介绍 Java 安全 模型 和 .NET 安全 框架 。 


15.1 引言 


在 万 维 网 出 现 之 前 ,分 布 运算 的 主要 案例 都 采用 客户 端 一 服务 器 模式 体系 结构 ， 即 客户 端 
(和 希望) 在 服务 端 上 执行 计算 ， 服 务 端 则 通过 对 客户 端的 认证 来 保护 自己 。Kerberos 协议 就 是 针对 
这 种 环境 而 设计 一 个 重要 的 认证 服务 (参考 12.4 节 ) 。 然 而 这 种 体系 结构 在 一 些 核心 方面 (领域 ) 
CARERE, 计算 已 经 从 服务 端 转移 到 客户 端 。 比 如 浏览 网 页 时 ， 嵌入 在 网 页 中 的 程序 (ap- 
plet) 将 由 客户 端 浏 览 器 执行 。 访 问 操作 的 本 质 已 经 发 生 改 变 ， 程 序 不 再 是 简单 的 向 操作 系统 或 
者 数据 库 发 送 读 写 请 求 ， 而 是 被 发 送 到 另外 一 端 去 执行 。 服 务 器 还 执行 来 自 客户 端的 脚本 ， 关 于 
脚本 方面 的 安全 已 在 14. 5. 2 节 中 讨论 。 客 户 端 从 服务 端 接 受 applet 并 且 可 能 在 cookie 中 保存 会 
话 状 态 信息 (参考 15.5 节 ) 。 那 么 ， 万 维 网 到 底 发 生 了 哪些 改变 呢 ? 

。 程 序 和 数据 的 分 界线 已 经 变 得 模糊 ， 通 过 将 可 执行 上 下 文 (applet) 栓 和 人 文档 中 来 创建 可 以 

处 理 用 户 输入 的 交互 式 网 页 。 

。 计算 已 经 转移 到 客户 端 。 将 可 执行 代码 圣人 文档 中 ， 让 它 在 更 有 效 的 客户 端 上 执行 ， 这 样 
服务 器 就 把 计算 任务 转交 给 了 客户 端 从 而 释放 出 自己 的 资源 。 因 此 ， 客 户 端 需要 保护 自 
己 以 防止 来 自 可 能 的 虚假 内 容 提供 者 的 威胁 。 

e。 因 为 计算 转移 到 了 客户 端 ， 客 户 端 将 被 迫 自 己 决定 并 执行 安全 策略 。 用 户 的 角色 被 转换 
成 管理 员 和 安全 策略 的 制定 者 。 

。 浏览 器 成 了 可 信 计 算 基 (TCB ) 的 一 部 分 。 

Web 也 已 经 创造 了 一 个 软件 分 发 的 新 范例 ， 软 件 变 成 了 一 种 可 以 从 因特网 下 载 的 内 容 。 如 
今 ， 特 别 是 升级 和 补丁 都 广泛 采用 这 种 分 发 方式 。 但 有 一 个 以 前 的 经 验 教训 值得 我 们 学 习 。 在 个 
人 电脑 发 展 的 初期 ， 软 件 的 分 发 是 通过 软盘 进行 的 ， 接 受 不 明 来 源 的 软盘 成 为 传播 计算 机 病毒 
的 主要 途径 。 许 多 组 织 意识 到 必须 适宜 地 管制 重要 的 软盘 ， 在 万 维 网 上 也 有 这 样 的 风险 ， 类 似 的 
保护 措施 也 必须 实施 。 

更 重要 的 一 方面 ， 我 们 必须 正视 那些 流窜 于 机 器 之 间 以 从 地 方 的 不 同 收集 信息 或 者 是 寻找 
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空闲 运算 资源 的 移动 代码 。 客 户 端 需 要 保护 自己 来 防止 来 自 移动 代码 的 威胁 ， 同 时 移动 代码 也 
需要 运行 它 的 机 器 提供 保护 。 

尽管 万 维 网 还 没有 带 来 严重 的 安全 问题 ， 但 是 它 已 经 将 需要 实施 的 内 容 改变 到 这 样 一 种 程 
度 ， 以 至 我 们 不 得 不 重新 考虑 新 的 访问 控制 范例 。 本 章 将 探讨 在 访问 控制 上 的 变化 。 


5.1.1 访问 控制 范例 的 改变 


在 4.2 节 中 的 访问 控制 模型 中 ， 主 角 发 送 需要 被 认证 的 访问 请 求 ， 安 全 策略 授权 主角 访问 一 
个 对 象 。 但 是 这 里 存在 一 个 严重 的 潜在 假想 ， 即 主角 只 和 知道 的 人 通信 。Unix 和 Windows 下 基 
于 身份 的 访问 控制 都 是 在 这 个 模型 上 建立 起 来 的 ， 并 实现 了 基于 身份 的 访问 控制 (identity- based 
access control ，IBAC) 。 这 种 模型 最 初 是 由 大 学 和 实验 室 这 类 组 织 创 建 的 。 这 种 访问 控制 方式 建 
立 在 一 些 重要 的 组 织 假设 基础 上 ， 如 组 织 可 以 为 其 成 员 授权 ， 成 员 ( 用 户 ) 可 以 被 定位 到 物理 地 
址 ， 审 计 日 志 记录 了 用 户 的 可 能 被 追究 的 行为 。 在 这 样 的 背景 下 ， 安 全 策略 自然 就 是 指 用 户 的 身 
份 ， 访 问 控制 就 是 规定 用 户 的 身份 可 验证 。 生 物 测定 技术 (3.7 节 ) 作 为 一 个 逻辑 步骤 ， 正 朝 更 强 
的 基于 身份 的 访问 控制 迈进 。 

这 些 有 关 组 织 的 假设 和 访问 控制 的 部 署 有 着 密切 的 联系 。 访 问 规 则 是 本 地 的 ， 没 有 必要 去 
寻找 适合 当前 请 求 的 规则 或 者 是 寻找 访问 主体 必须 提供 的 赁 证。 所 有 的 规则 和 对 象 都 被 保存 为 
访问 控制 列表 (ACL) 。 和 凭证 就 是 访问 主体 所 在 的 UD ( Windows 中 的 SD ) 。 规 则 的 实施 统一 执 
行 ， 引 用 监控 器 在 做 决定 时 并 不 与 其 他 参与 方 协商 。 许 可 用 于 常用 的 简单 操作 ， 如 读 、 写 、 执 
行 。 在 设置 安全 策略 的 时 候 ， 还 需要 考虑 一 致 性 (homogeneity ) 的 程度 。 同 一 组 织 定义 有 组 织 的 
和 自动 的 安全 策略 。 


15. 1.2 修订 的 有 关 访 问 控制 的 术语 
由 于 历史 的 原因 ， 当 前 使 用 的 有 关 访 问 控制 的 术语 都 和 基于 身份 的 访问 控制 相关 。 下 面 三 


a 


， 节 的 主题 是 基于 代码 的 访问 控制 ， 我 们 将 不 深究 “是 谁 做 的 这 个 声明 ”， 因 此 我 们 讨论 的 不 是 在 





没有 认证 的 情况 下 进行 访问 控制 ， 就 是 重新 解释 认证 并 扩大 它 的 含义 ， 以 便 它 能 支持 外 部 提交 
的 和 请 求 关联 的 证 据 的 验证 (图 15-1) 。 额 外 地 ， 我 们 可 能 需要 把 本 地 证 据 和 一 个 请 求 联系 起 来 。 
比如 ， 请 求 可 能 只 是 当前 会 话 的 一 部 分 或 者 在 决策 是 否 授权 时 可 能 会 依赖 当前 的 日 期 和 时 间 ， 
或 许 我 们 还 需要 让 认证 包含 这 个 关联 的 验证 。 









关联 本 地 证 据 (安全 
上 下 文 ) 和 请 求 


查询 相关 的 策略 并 评估 
E M A IEEE Y 


认证 


代码 ID. Si ID, 
特权 、 位 置 、 发 送 


者 ID, 


图 15-1 开放 环境 下 的 访问 控制 


其 次 ， 我 们 不 得 不 去 寻找 适合 这 个 请 求 的 策略 ， 然 后 检查 要 承认 这 个 请 求 其 所 持 的 认证 证 
据 是 否 充 足 。 在 一 个 使 用 了 许可 的 系统 中 ， 我 们 可 以 检查 所 有 的 请 求 许可 (required permission) Æ 
和 否 都 在 授权 的 许可 中 。 这 个 短语 可 以 称 为 授权 (authorization ) ， 它 并 不 表示 谁 被 允许 去 访问 一 个 
资源 ， 而 是 要 获得 一 个 资源 的 访问 许可 必须 提供 的 凭证 。 
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为 了 简化 描述 ,图 15-1 中 的 引用 监控 器 掌管 了 认证 和 授权 的 所 有 方面 。 但 在 实际 中 这 些 功 
能 却 是 由 不 同 的 部 件 来 实施 的 。 

。 策 略 管理 点 (PAP) 制定 策略 。 

。 策略 决定 点 (PDP) 评 估 适 用 的 策略 并 且 决 策 授权 。 

© 策略 执行 点 (PEP) 执 行 访问 控制 ， 它 将 策略 抉择 发 送 到 PDP 然后 执行 接受 的 被 授权 策略 。 

。 策 略 信息 点 (PIP) 提供 证 据 来 源 。 


15.2 基于 代码 的 访问 控制 


因特网 让 从 未 谋面 的 我 们 走 到 了 一 起 。 在 应 用 中 ， 例 如 电子 商务 ， 人 允许 未 知 的 实体 访问 我 们 
的 系统 通常 都 是 必须 的 。 自 然 地 ， 这 就 会 潜在 地 危及 我 们 的 安全 ， 因 为 我 们 已 经 从 一 个 封闭 的 环 
境 走 向 另外 一 个 开放 的 环境 。 
。 我 们 和 从 未 认识 的 人 打交道 ， 在 我 们 的 访问 控制 规则 中 难以 获取 他 们 的 身份 。 
。 我们 无 法 知道 对 方 在 现实 中 的 地 址 。 
。 在 其 他 的 一 些 方面 ， 我 们 可 能 没有 实际 的 权力 。 即 使 我 们 可 以 证 明 有 些 人 应 当 为 某 些 行 
为 负责 ， 我 们 可 能 仍然 无 法 问 责 (追究 ) 他 们 。 因 为 他 们 可 能 生活 在 不 同 的 司法 社会 下 ， 
导致 诉 诸 法 律 过 程 可 能 会 很 缓慢 ， 或 者 多 余 ， 或 者 是 代价 相对 较 大 ， 这 些 都 是 制定 安全 策 
略 时 不 得 不 考虑 的 问题 。 与 消费 者 的 关系 和 与 被 雇用 者 的 关系 在 很 多 方面 都 不 一 样 。 
在 上 述 环境 下 ， 设 置 安 全 策略 时 用 户 身份 就 显得 不 是 那么 有 用 。 因 此 ， 一 个 请 求 的 来 源 就 不 
再 是 访问 控制 的 有 效 参 数 。 同 时 ， 引 用 监控 器 不 再 是 接受 读 、 写 、 执 行 请 求 ， 而 是 一 个 完整 的 程 
序 (applet 或 者 脚本 ) 。 访 问 控制 需要 决定 是 否 运行 applet 以 及 给 予 将 要 执行 的 applet 什么 权限 。 
Java 沙 合用 基于 代码 访问 控制 方法 来 代替 基于 用 户 身 份 的 访问 控制 。 在 该 访问 控制 的 策略 中 使 用 
如 下 的 证 据 。 
。 代码 来 源 : 代码 是 来 自 本 地 还 是 来 自 远程 ? 如 果 是 来 自 远程 的 代码 ， 那 它 是 从 哪个 URL 
下 载 的 呢 ? 我 们 可 以 为 这 个 URL 参数 设置 一 个 区 域 ， 然 后 在 其 基础 上 定义 安全 策略 。 一 - 
个 简单 的 示例 是 ， 我 们 可 以 将 策略 简单 的 定义 为 代码 是 来 自 内 联网 还 是 因特网 。 
。 代码 签名 : 代码 是 否 被 一 个 可 信任 的 提供 者 进行 了 数字 签名 ? 在 这 里 ， 信 任 只 是 简单 地 表 
明 ; 我 们 已 经 许可 了 执行 来 自 指定 提供 者 的 代码 并 给 予 一 定 权 限 。 通 常 这 只 是 一 个 操作 
决策 ， 而 不 是 对 某 个 作者 的 可 信赖 度 的 决策 。 
。 代码 标识 : 有 时 候 我 们 可 能 决定 给 予 可 信 程 序 一 些 特 权 ， 家 庭 银行 应 用 程序 就 是 这 样 的 
一 种 示例 。 计 算 接 受到 的 applet 的 hash 值 ， 然 后 检查 其 是 否 在 可 信 的 applet 列表 上 。 同 
样 ， 这 更 多 是 一 个 操作 决定 ， 而 不 是 基于 技术 上 的 对 applet 可 信赖 度 的 断定 。 
RERE: 是 否 运 行 一 个 applet 的 决定 基于 代码 的 某 些 特殊 属性 ， 比 如 它 可 能 写 的 文件 或 
者 是 它 可 能 要 连接 的 远程 地 址 。 创 建 一 个 符合 这 类 安全 属性 监控 的 证 据 不 是 一 项 简单 的 
任务 。 因 此 ， 需 要 作者 提供 校 验 ， 在 访问 控制 在 做 决定 的 时 候 ， 引 用 监控 器 将 检查 其 校 验 
值 。 研究 人 员 提 出 了 携带 校 验 的 代码 的 理念 。 判 定 有 用 的 安全 属性 实际 上 要 比 检 验 它们 是 
否 拥 有 该 属性 难得 多 。 
我 们 将 这 种 访问 控制 称 为 基于 代码 的 访问 控制 ， 同 时 也 可 称 之 为 基于 证 据 的 访问 控制 (evi- 
dence- based access control) 。 为 了 使 安全 策略 可 管理 ， 许 可 通常 都 被 赋值 给 代码 环境 (. NET 术语 
集 ) ， 个 别 的 软件 部 件 从 包含 它们 的 代码 环境 中 继承 许可 。 


15.2.1 堆栈 检查 
主体 代表 主角 行动 。 在 基于 身份 的 访问 控制 中 ， 用 户 是 主角 。 用 户 登 录 时 ， 一 个 进程 被 创建 
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并 运行 在 该 用 户 的 UID 下 ， 该 进程 的 访问 权 许 可 从 它 的 UID 继承 而 来 。 通 常 ， 在 执行 这 个 进程 
的 过 程 中 ， 许 可 不 会 改变 。 当 需要 改变 的 时 候 ， 新 的 进程 产生 后 将 运行 在 不 同 于 父 进 程 的 UID 
To UNIX 下 的 SUD 程序 就 是 这 样 的 一 个 典型 的 例子 。 

在 基于 代码 的 访问 控制 中 ， 一 个 软件 部 件 调用 另外 一 个 部 件 时 ， 执 行 这 些 部 件 的 进程 的 有 
效 许可 将 发 生 改变 。 判 断 有 效 许可 的 算法 必须 考虑 调用 部 件 和 被 调用 部 件 的 许可 ， 因 此 我 们 不 
得 不 决定 一 个 可 信 部 件 调用 不 可 信和 部 件 时 的 许可 ,反之 当 不 可 信 部 件 调用 可 信和 部 件 时 ,我们 也 
必须 作出 决定 。 有 如 下 示例 ， 函 数 8 有 访问 资源 R 的 许可 ， 但 是 函数 了 却 没有 。 当 函数 8 调用 函 
数 f 而 又 去 请 求 资源 R( 图 15-2a)。 可 以 授权 给 这 个 访问 吗 ? 这 种 情况 下 保守 的 策略 是 拒绝 ， 
因为 函数 了 自身 不 具备 对 资源 的 访问 许可 。 但 是 8 可 以 明确 授予 f 访 问 R 的 许可 。 相 反 的 ,让 
f 调 用 g，g 再 去 访问 资源 R( 图 15-2b)。 这 个 访问 应 当 被 授权 吗 ? 保守 的 回答 还 是 拒绝 。 因 为 8 
可 能 已 经 被 7 使 用 诱饵 式 攻 击 (luring attack; 也 被 称 为 困惑 的 代理 人 攻击 ， 参 见 5.3.5 节 ) 利 用 
( 却 不 知道 ) ， 但 是 8 却 断 言 这 个 访问 权限 。 在 上 面 的 两 个 示例 中 ， 我 们 在 做 访问 决策 的 时 候 都 
需要 知道 整个 访问 链 。 


加 
访问 访问 
“可 信 的 ” “不 可 信和 的 ” “不 可 信 的 ” “可 入 的 ” 

a) b) 


图 15-2 基于 代码 的 访问 控制 中 的 调用 链 


习惯 上 ， 我 们 将 那些 具有 高 许可 的 部 件 称 为 可 信 部 件 。 但 是 这 并 不 代表 有 理由 让 我 们 相信 
这 样 的 部 件 不 需要 安全 策略 的 约束 ， 它 仅仅 代表 这 类 部 件 的 执行 需要 像 系 统 级 别 这 样 的 许可 而 
已 。 同 样 ， 不 可 信 部 件 并 不 是 不 能 执行 的 部 件 ， 而 只 是 给 予 其 相对 较 少 的 许可 而 已 。 

Java 虚拟 机 和 . NET 通用 语言 运行 时 都 使 用 调 |  … 
用 栈 去 管理 代码 的 执行 。 每 发 生 一 个 函数 调用 就 在 (Tos | 
栈 上 创建 一 幅 新 帧 ， 每 一 幅 帧 都 包含 函数 的 本 地 状 有 效 的 许可 = perm(£)M perm(g)n ... 
态 ， 比 如 直接 授予 给 它 的 许可 。 为 了 计算 有 效 的 许 
可 ， 到 目前 情 性 计算 (lazy evaluation) 仍然 为 软件 开 图 15-3 ”堆栈 游 走 中 的 有 效 许可 计算 
发 者 所 青睐 。 当 函数 请 求 访 问 一 个 受 保 护 的 资源 ， 堆 栈 遍 历 (stack walk) 用 来 确定 调用 者 是 否 有 
要 求 的 许可 。 最 终 ， 调 用 者 有 效 许可 的 计算 取决 于 调用 栈 上 所 有 函数 的 许可 的 交集 (图 15-3) 。 

如 果 这 些 策略 被 严格 的 执行 ， 受 控 调 用 的 选项 将 受到 严重 的 约束 。 因 此 ， 通 常 提供 者 都 提供 
了 选项 用 于 代码 的 许可 断言 (assert) 。 许 可 断言 附着 在 当前 栈 帧 上 ， 当 从 调用 部 件 返回 时 撤销 。 
堆栈 刀 历 在 遇 到 许可 断言 的 帧 并 授予 这 个 许可 时 终止 (至 此 所 有 被 检查 的 帧 都 具有 这 个 许可 ) 。 
如 果 还 有 要 求 的 许可 没有 被 断言 ， 堆 栈 饥 历 将 继续 执行 下 去 。 断 言 允许 不 可 信 的 调用 者 调用 可 
信和 的 方法 。 

编写 部 件 并 给 其 赋予 许可 的 程序 员 必须 考虑 到 不 可 信 部 件 可 能 使 用 他 们 实现 的 函数 因而 必 
须 建 立 适当 的 防御 策略 。 同 时 ， 他 们 也 必须 意识 到 由 于 调用 者 许可 不 够 ， 代 码 在 运行 时 原 有 的 许 
可 可 能 会 丢失 。 


15. 2.2 基于 历史 的 访问 控制 


堆栈 审查 通过 重用 调用 栈 去 尝试 获得 该 栈 的 原始 使 用 方法 。 就 性 能 来 看 ， 出 于 安全 的 因素 ， 
通常 的 优化 或 许 不 得 不 失效 。 实 际 上 通过 堆栈 审查 来 精确 地 确定 安全 保证 是 很 困难 的 ， 另 外 和 
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安全 相关 地 参数 不 一 定 就 放 在 堆栈 上 。 因 此 执行 这 种 机 制 地 安全 策略 很 难 适 应 高 级 别 地 安全 
策略 。 
我 们 将 使 用 尾 调 用 清除 (tail call elimination) 去 说 明 第 一 点 ， 哺 数 最 后 一 个 菁 数 调用 指令 被 称 
为 尾 调 用 。 考 虑 如 下 的 示例 : 
voidg() voidf() 
í { 
tO; //tail call } n 
return ; 


) 

AfA ) 被 调用 ，g 的 帧 就 不 再 需要 了 ， 它 被 了 的 新 帧 覆盖 掉 。 事 实 上 ,，/ 直接 返回 到 g 的 调 
用 者 。 在 递归 函数 中 这 样 的 优化 特别 的 有 效 。 使 用 尾 调用 清除 ， 不 可 信 的 调用 者 可 能 在 堆栈 上 不 
留 下 任何 踪迹 。 在 我 们 的 例子 中 ， 让 了 发 起 一 个 需要 许可 p 的 访问 ,但 是 许可 p 并 没有 授 闻 给 8。 
如 果 不 使 用 尾 调用 清除 ， 堆 栈 遍 历 在 检查 8 的 栈 帧 时 将 会 产生 异常 。 然 而 使 用 尾 调 用 清除 ， 堆 栈 
遍历 将 继续 持续 下 去 ， 这 可 能 就 会 导致 一 个 应 当 被 禁止 的 访问 却 被 许可 (图 15-4a 和 图 15-4b) 。 








不 使 用 使 用 不 使 用 使 用 
尾 调用 清除 尾 调 用 清除 尾 调用 清除 尾 调用 清除 
2 
访问 被 拒绝 访问 可 能 被 授权 访问 被 授权 访问 可 能 被 拒绝 
a) b) c) d) 


图 15-4 尾 调 用 清除 的 影响 


另外 一 方面 ， 一 个 可 信 的 调用 者 可 能 取消 一 个 断言 的 许可 。 在 上 面 的 示例 中 ， 让 了 有 许可 P， 
8 断言 许可 p， 并 假定 先前 的 调用 者 不 具有 这 个 许可 。 不 使 用 尾 调 用 清除 ， 堆 栈 遍历 将 停 在 8 的 
栈 帧 上 并 且 进 行 授权 。 而 使 用 尾 调 用 清除 ， 堆 栈 遍 历 由 于 看 不 到 断言 就 会 禁止 该 访问 。 在 这 里 ， 
一 个 应 当 被 授权 的 访问 却 被 拒绝 了 (图 15-4c 和 图 15-4d) 。 

为 了 避免 堆栈 审查 安全 机 制 的 缺点 ， 放 弃 惰性 计算 的 措施 而 采用 热情 计算 (eager evaluation) 
去 前 摄 性 地 估算 调用 者 的 许可 。 在 基于 历史 的 访问 控制 中 ， 在 加 载 的 时 候 静 态 许 可 5 被 关联 到 代 
码 的 每 一 部 分 上 ， 和 每 一 个 执行 单元 相关 联 的 当前 许可 D 在 规则 D = DMS 下 自动 更 新 。 


15.3 ”Java 安全 


为 了 在 Web 上 畅快 地 冲浪 ,用 户 必须 准备 好 接受 来 自任 何 吸引 他 们 的 站 点 的 可 执行 上 下 文 
(applet) 。 这 要 求 用 户 能 够 控制 applet 的 行为 。applet 是 由 Web 浏览 器 中 的 虚拟 机 解释 执行 的 程 
序 。 这 样 就 要 求 虚拟 机 去 执行 访问 控制 ，Java 使 用 沙 金 (sandbox) 限 制 applet， 同 时 applet 使 用 的 
语言 也 使 得 其 很 难 造 成 损害 。 为 了 正确 有 效 地 使 用 执行 环境 的 访问 控制 机 制 ， 安 全 策略 必须 正 
确 的 设置 。 

15. 3.1 执行 模型 


Java 是 安全 的 面向 对 象 的 语言 。Java 的 源 代 码 被 编译 成 独立 于 机 器 的 字 节 码 ， 并 以 类 文件 的 
方式 存储 。Java 字 节 码 和 汇编 语言 很 相似 。 特 定 于 平台 的 虚拟 机 将 解释 这 些 字 节 码 ， 并 将 其 翻译 
成 特定 于 平台 机 器 的 指令 。 执 行 一 个 程序 时 ， 类 加 载 器 会 加 载 所 有 被 要 求 的 附加 类 。 图 15-5 给 
出 了 使 用 Java applet 的 典型 概况 。applet 使 用 Java 语言 编写 ， 然 后 被 编译 成 字 节 码 放 在 服务 器 
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上 ， 最 终 被 客户 机 上 的 浏览 嚣 执行， 支持 Java 的 浏览 器 有 自己 的 Java 虚拟 机 。Java 虚拟 机 有 3 
个 安全 部 件 ， 字 节 码 校 验 器 、 类 加 载 器 和 安全 管理 器 。 目 前 的 浏览 器 都 倾向 于 执行 如 下 这 类 可 选 
策略 ， 尽 管 它们 并 不 是 必需 的 。 关 于 applet 的 典型 安全 策略 如 下 : 











Java 源 代码 




















字 节 码 编译 器 
































-| 


可 执行 代码 














图 15-5 Java 执行 模型 


© applet 不 能 访问 用 户 的 文件 系统 。 


客 P 端 服务 器 
:浏览 器 eee : applet ` Web 页 面 
i | | applet 
| 字 节 码 验证 器 “| ， ;| ( 字 节 码 
applet 类 加 载 器 ee 
了 
安全 管理 器 





e applet 不 能 获得 像 用 户 名 、 电 子 邮件 地 址 、 机 器 配置 这 类 的 信息 。 
e applet 只 能 回 连 到 它们 来 自 的 服务 器 一 一 如 果 它 需要 远程 连接 。 


。 applet 只 能 弹出 标志 着 “不 可 信 的 ”窗口 。 


© applet 不 能 通过 利用 系统 类 替换 自己 的 类 来 重新 配置 Java 虚拟 机 。. 


15.3.2 Javal 安全 模型 


最 初 的 Java 安全 模型 只 实现 了 很 简单 的 安全 策略 (图 15-6)。 相 对 本 地 代码 而 言 ， 末 标识 的 


applet 被 严格 地 限制 在 沙 盒 中 。 从 Java 1.1 版 本 开始 ， 标 
识 的 代码 不 再 被 严格 限制 。Java 基本 的 安全 策略 不 提供 
任何 中 间 的 控制 ， 这 大 大 地 降低 了 给 “ 半 可 信 ”applet( 例 
如 ， 作 为 家 庭 银行 应 用 一 部 分 的 applet ) 额外 许可 的 灵 

另外 ， 代 码 来 自 本 地 还 是 远程 并 不 是 一 个 精确 的 安 
全 标识 。 本 地 文件 系统 的 某 些 部 分 可 能 是 存在 于 其 他 机 
器 上 的 ， 这样 它 们 将 被 沙 盒 严 格 限制 。 相 反 地 ， 下 载 的 
软件 一 旦 被 缓存 或 者 被 安装 在 本 地 系统 上 就 变 成 可 信 的 
代码 。 为 了 实现 更 灵活 的 安全 策略 ， 需 要 一 个 可 定制 的 
安全 管理 器 ， 这 是 一 项 需要 安全 技术 和 软件 设计 技术 的 
重大 任务 。 


15.3.3 Java 2 安全 模型 


本 地 代码 远程 代码 (applet ) 
已 标识 的 〈 可 信 )| 代 码 










完全 访问 权限 


沙 盒 限制 的 访问 











图 15-6 Javal 的 安全 模型 


-一 





Java 2 安全 模型 将 安全 策略 的 规范 和 策略 的 执行 分 开 ， 为 基于 代码 的 访问 控制 提供 了 一 个 灵 
活 的 框架 ， 同 时 简化 了 一 些 策略 的 执行 过 程 。 安 全 策略 通过 映射 属性 描述 码 到 授权 的 许可 的 这 
种 方式 来 授权 代码 对 资源 的 访问 许可 。 安 全 管理 器 在 请 求 访问 受 保护 的 资源 时 被 调用 ， 以 执行 
安全 策略 ， 它 收集 相关 的 证 据 然后 激活 访问 控制 ， 策 略 决定 点 做 最 终 的 决定 。 
集中 考虑 常见 功能 时 ， 我 们 可 以 看 到 如 下 的 Java 2 整体 安全 模型 。 这 个 模型 包括 四 大 部 分 : 
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语言 安全 ( 字 节 码 验证 器 ) ， 安 全 扩展 系统 (类 加 载 器 ) ， 策 略 规范 者 和 策略 实施 者 。 如 果 想 获得 
这 种 模型 的 更 多 细节 信息 可 参考 Gong, Dageforde and Ellison(2003) 的 著作 。 


15.3.4 F URAA 


第 一 道 防线 是 applet 所 使 用 的 编程 语言 ， 在 很 大 程度 上 语言 能 够 限制 编写 出 恶意 的 applet, 
Java applet 是 用 字 节 码 编写 ， 它 自身 具有 一 些 安全 属性 。 字 节 码 校 验 器 (Byte Code Verifier) 分 析 
Java 类 文件 ， 执 行 语法 检查 ， 使 用 定理 证 明 程序 和 数据 流 分 析 去 检查 静态 类 型 ， 以 确保 在 applet 
执行 前 这 些 异 常 都 被 检查 到 。 校 验 器 保证 如 下 的 属性 : 

。 类 文件 是 正确 的 格式 。 

。 堆栈 不 会 溢出 。 

。 调用 都 使 用 了 正确 类 型 的 参数 并 且 都 返回 了 正确 的 类 型 。 

。 没有 非法 的 数据 类 型 转换 。 

© 所 有 对 其 他 类 的 引用 操作 都 是 合法 的 。 

。 没 有 访问 违规 操作 ， 私 有 区 域 对 对 象 外 部 不 可 见 。 

字 节 码 校 验 器 减轻 了 解释 程序 的 工作 量 ， 由 于 校 验 器 保证 了 代码 的 (属性 ) 可靠 性 ， 所 以 在 
运行 时 不 再 需要 检查 。 字 节 码 验证 无 法 涵盖 所 有 的 安全 问题 ， 因 此 安全 还 必须 依赖 运行 环境 的 
安全 机 制 。 有 关 字 节 码 校 验 精确 形式 描述 的 实验 还 再 继续 着 ， 最 终 目 标 是 找到 证 据 证 明 字 节 码 
校 验 能 够 提供 他 们 所 宣称 的 保证 。 


15.3.5 类 加 载 器 


Java 平台 是 一 个 可 扩展 的 系统 (extensible system) 。 类 仅 在 链接 需要 的 时 候 才 加 载 (惰性 加 
载 ) 。 为 了 减少 物理 内 存 的 使 用 和 提升 系统 的 响应 时 间 ， 类 加 载 总 是 尽量 最 大 延迟 。 共 有 三 种 类 
加 载 器 。 其 中 ， 引 导 类 加 载 器 (Bootstrap Class Loader) 加 载 组 成 虚拟 机 核心 的 系统 类 ， 这 种 方式 
加 载 的 类 对 系统 资源 的 访问 (在 编写 时 ) 拥有 相对 宽松 的 限制 。 引 导 类 加 载 器 是 和 平台 相关 的 ， 
通常 使 用 底层 语言 如 C 编写 ， 并 且 通 常 从 本 地 文件 文件 系统 启动 。 扩 展 类 加 载 器 加 载 安 装 的 可 
选 软件 包 中 的 类 。 应 用 程序 类 加 载 器 (Application Class Loader) 加 载 用 户 定义 的 类 。 

类 加 载 器 加 载 类 时 ， 它 读 取 字 节 码 文件 ， 定 义 类 并 赋予 它 一 定 的 保护 域 (参见 15. 3.6 节 )。 
Java 虚拟 机 在 链接 时 执行 检查 确保 类 型 安全 ， 和 运行 时 检查 相 比 ， 链 接 时 检查 具有 只 需要 检查 一 
次 的 优点 。 每 一 个 Java 虚拟 机 都 有 类 文件 校 验 器 去 保证 不 可 信 的 类 是 安全 的 。 类 文件 校 验 检查 
Java 语言 的 约束 是 否 得 到 执行 和 类 文件 是 否 有 正确 的 内 部 结构 。 类 文件 验证 调用 字 节 码 校 验 器 。 

每 一 个 类 都 由 它 的 类 型 和 定义 它 的 类 加 器 唯一 定义 。 因 此 ， 类 加 器 为 不 同 的 类 提供 了 单独 
的 名 字 空 间 。 浏 览 器 加 载 applet 的 时 候 从 单独 的 类 加 载 器 中 加 载 各 种 资源 。 这 些 applet 可 能 包含 
相同 名 字 的 类 ， 但 是 这 些 类 却 被 Java 虚拟 机 识别 为 需 引 起 注意 的 类 型 ， 同 时 支持 用 户 自 定 义 的 
类 加 载 规则 。 比 如 ,用户 可 定义 的 类 加 载 器 可 以 做 到 怎么 去 寻找 类 或 者 标识 那些 从 给 定 资 源 中 
加 载 的 类 的 安全 属性 。 


15. 3.6 策略 


安全 策略 将 代码 属性 映射 给 许可 。 许 可 代表 了 系统 资源 和 对 这 些 资源 允许 的 操作 。 许 可 的 
格式 有 (名 字 、 操 作 ) 等 ， 比 如 (/tmp/yabc，read) 表示 对 文件 的 只 读 许 可 。 许 可 被 授予 给 代码 ( 授 
权 许可 ) ， 访 问 资源 的 时 候 同 样 需 要 许可 。Java 只 使 用 积极 的 许可 ， 开 发 者 并 不 被 局 限于 使 用 已 
经 定义 的 许可 ， 它 们 可 以 定义 特定 的 应 用 程序 的 许可 。 
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有 一 个 许可 类 的 分 层 结构 。 不 同 许可 间 的 关系 由 implies 和 equals 方法 定义 。AllPermission 
是 一 张 具有 全 部 许可 的 通行 证 ， 针 对 系统 管理 员 这 样 的 需要 大 量 许可 才能 完成 他 们 的 工作 的 实 
体 ， 它 被 设计 成 流线型 策略 运算 。unresolvedPermission 是 那些 尚 待 解 决 的 许可 占 位 等 ， 比 如 ， 也 
许 存在 Policy 对 象 创建 后 某 些 许可 类 尚未 加 载 的 情况 。 为 了 支持 策略 管理 ， 许 可 应 当 能 被 许可 集 
(permission set) 所 校 举 。 

和 代码 相关 的 安全 参数 是 源 代码 (code source) ， 包 括 URL( 代 码 起 源 ) 和 可 能 的 数字 证 明 ( 代 
码 签 属 者 ) 以 及 代表 用 户 或 者 服务 的 主角 。 保 护 域 是 一 种 管理 安全 的 手段 ， 每 一 个 类 在 加 载 的 时 
候 就 和 保护 域 相 关联 了 ， 保 护 域 包括 源 代码 ， 主 角 ， 类 加 载 器 的 引用 ， 授 予 代 码 的 静态 许可 和 代 
码 加 载 时 被 标识 的 许可 。 保 护 域 是 一 个 不 可 改变 (immutable) 的 对 象 ， 一 旦 它们 被 创建 就 不 允许 
改变 。 

策略 存放 在 策略 文件 中 。 策 略 文件 可 能 包括 最 多 一 个 主 存储 表 项 和 任意 的 授权 表 项 。 主 存 
储 表 项 标识 了 到 哪里 去 寻找 在 授权 表 项 中 给 出 的 签署 者 的 公 钥 。 授 权 表 项 对 代码 基 以 及 签署 者 
和 主角 列表 分 配 许可 这 3 个 域 都 是 可 选 的 。 有 可 能 赋予 签署 者 单个 的 许可 。 如 果 这 样 ， 则 只 有 从 
指定 的 签署 者 签署 的 文件 中 找到 的 许可 才 是 有 效 的 。 


15.3.7 ”安全 管理 器 


Java 虚拟 机 中 的 引用 监控 器 就 是 安全 管理 器 ， 在 进程 请 求 访问 受 保护 的 资源 时 被 调用 来 检查 
进程 是 否 拥有 所 要 求 的 许可 。 程 序 通 过 调用 安全 管理 器 的 checkPermission 方法 去 请 求 这 个 检查 。 
该 方法 可 以 作为 唯一 参数 与 请 求 的 许可 一 起 调用 ， 也 可 能 与 请 求 的 许可 和 执行 上 下 文 一 起 调用 。 
执行 环境 捕获 了 执行 堆栈 上 的 内 容 。 安 全 管理 器 的 checkPermission 方法 依次 调用 访问 控制 器 的 
checkPermission 方法 。 

访问 控制 器 对 所 有 许可 执行 统一 的 访问 决策 算法 。 为 了 计算 授权 的 许可 ,访问 控制 器 检查 
提交 的 执行 上 下 文 ， 即 执行 堆栈 ， 并 运行 堆栈 游 走 。 栈 上 的 每 一 个 方法 都 对 应 一 个 类 ， 而 每 一 个 
类 又 属于 一 个 保护 域 。 保 护 域 定 义 授 权 给 该 方法 的 许可 。 最 基本 的 访问 控制 算法 就 是 计算 执行 
上 下 文中 所 有 方法 已 获得 的 许可 的 交集 。 如 果 堆 栈 中 的 所 有 方法 均 被 授予 了 该 所 需 许 可 ， 则 访 
问 控制 器 同意 该 访问 这 个 算法 现在 又 被 扩展 了 ， 使 得 方法 在 忽略 先前 调用 者 时 可 以 通过 调用 do- 
Privileged 方法 来 断言 许可 ， 从 而 结束 堆栈 遍历 。 进 一 步 的 改进 算法 可 用 于 处 理 与 方法 继承 和 可 
执行 上 下 文 继承 相关 的 内 容 。 


15. 3.8 小 结 


Java 2 安全 模型 使 用 的 方法 被 称 为 “ 称 述 的 安全 ”。 应 用 程序 的 作者 通过 在 代码 中 加 入 相关 的 
检查 来 断言 访问 受 保护 的 资源 需要 哪些 许可 。 这 使 得 定义 特定 应 用 程序 许可 具备 充分 的 灵活 性 。 
部 署 应 用 程序 的 管理 员 通过 具体 指定 安全 策略 来 分 配 他 们 的 许可 。 访 问 控制 器 提供 了 共享 的 唯 
一 访问 控制 算法 ， 以 确保 安全 策略 实施 的 一 致 性 。 应 用 程序 编写 者 不 需要 实现 他 们 个 人 的 、 特 定 
应 用 程序 的 访问 控制 逻辑 。 

Web 浏览 器 中 的 Java 虚拟 机 在 操作 系统 之 上 的 层 执行 安全 机 制 。 一 旦 用 户 访问 位 于 这 个 安 
全 机 制 下 的 层 时 ， 比 如 说 访问 其 他 应 用 程序 而 不 是 浏览 器 ， 所 有 的 有 关系 统 完 整 性 的 保护 都 将 
失效 。 此 外 ，Java 平台 不 是 坚固 的 ， 因 为 Java 仅仅 是 被 设计 为 一 类 安全 的 语言 。 随 着 时 间 的 推 
移 ， 一 些 安全 问题 被 发 现 并 得 到 了 解决 。 第 14 章 将 介绍 一 些 与 类 型 安全 相关 的 示例 。 大 多 数 情 
况 ， 攻 击 者 是 通过 破坏 类 型 系统 进入 的 。 这 将 是 给 那些 认为 仅仅 只 需要 面向 对 象 抽象 机 制 而 不 
需要 付出 额外 的 努力 解决 对 象 管理 系统 下 的 安全 就 可 以 构建 一 个 高 强度 的 安全 的 人 一 个 严重 警 
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告 。 构 建 一 个 复杂 而 严密 的 系统 是 一 项 艰巨 的 任务 。 与 Java 安全 相关 的 工作 仍 将 继续 下 去 。 
15.4 .NET 安全 框架 


本 节 将 给 出 .NET 安全 特性 的 概述 并 介绍 它 的 一 些 术语 。La Macchia et al. (2002 ) 更 详细 地 介 
绍 了 .NET 安全 。 


15.4.1 通用 语言 运行 库 


通用 语言 运行 库 ( CLR) 是 一 个 支持 多 种 编程 语言 如 C#、VB 、VJ#， 托 管 C++ 等 的 运行 时 系 
统 。 通 用 语言 规范 (CLS ) 规 定 了 .NET 所 有 语言 的 通用 需求 。C# 是 主要 的 语言 ， 它 是 一 种 类 型 安 
全 的 编程 语言 。 在 某 种 程度 上 ，C# 语 言 的 设计 是 建立 在 从 Java 语言 使 用 中 获取 的 经 验 之 上 的 。 
用 . NET 的 任何 一 种 语言 编写 的 代码 都 被 编译 成 微软 中 间 语 言 (Microsoft Intermediate Language , 
MSIL) 代 码 。MSIL 与 Java 字 节 代码 的 概念 相似 。 在 MSIL 代码 执行 前 ， 这 些 代码 被 送 到 实时 
(just in time, JIT) 编译 器 。 公 共 语 言 库 加 载 并 运行 代码 ， 执 行 安 全 检查 ， 自 动 进行 垃圾 回收 以 便 
编程 者 不 必 有 明确 释放 或 者 删除 他 们 不 再 需要 的 对 象 。 从 构建 上 讲 ， 公 共 语 言 库 和 Java 虚拟 机 
相当 。 

托管 代码 (managed code) ， 被 编译 成 在 . NET 框架 下 运行 并 受 公共 语言 库 控制 的 代码 。 本 地 
代码 (native code) ， 又 名 非 托 管 代码 ,， 即 被 编译 成 特定 硬件 平台 的 机 器 语言 代码 。 本 地 代码 不 受 
公共 语言 库 的 控制 ， 在 公共 语言 库 下 面 一 层 工作 。 托 管 代码 到 本 地 代码 的 调用 是 安全 的 关键 ， 因 
为 此 时 任何 由 公共 语言 库 提 供 的 保证 都 不 再 实用 了 。 目 前 ， 特 定 的 措施 已 经 被 用 于 检查 这 样 一 
个 调用 会 不 会 导致 安全 违规 。 

程序 集 (assembly ) 是 微软 中 间 语 言 代 码 的 逻辑 单元 ， 它 包含 的 元 数据 (metadata) 提供 了 如 下 
的 信息 : 程序 集 的 全 称 、 引 用 的 程序 集 、 可 见 性 、 继 承 的 类 、 每 一 个 定义 的 类 执行 的 接口 ， 以 及 
类 成 员 的 信息 (如 方法 、 域 和 属性 ) 。 


15.4.2 ”基于 代码 身份 的 安全 


.NET 平台 使 用 基于 代码 的 访问 控制 ， 即 由 La Macchia et al. (2002) 提 出 的 基于 代码 身份 的 安 
全 。 基 本 的 思想 是 为 代码 指定 不 同 的 可 信和 度 ， 精 确 地 说 就 是 赋予 代码 不 同 的 许可 ， 使 用 最 小 特权 
法 则 是 一 个 很 好 的 原则 。 调 用 那些 完全 可 信 的 拥有 所 有 许可 的 代码 ， 不 可 信 的 只 有 非常 有 限 的 - 
许可 代码 ， 以 及 那些 处 于 部 分 受信 间 的 许可 的 代码 混合 了 访问 控制 的 可 操作 方面 ， 并 说 明了 为 
什么 许可 被 以 一 定 的 方式 赋予 。 

基于 代码 身份 的 安全 引用 了 代码 的 身份 ， 安 全 策略 引用 关于 程序 集 的 证 据 ， 授 权 代码 而 不 
是 用 户 来 访问 资源 。 在 代码 运行 中 证 据 被 动态 地 收集 。 一 些 证 据 项 通常 是 无 法 预先 知道 的 ， 如 源 
程序 集 的 URL， 代 码 身份 的 认证 用 来 收集 和 校 验 程序 集 证 据 的 过 程 。 


15.4.3 W 


程序 集 的 证 据 可 以 包含 默认 类 中 的 对 象 ， 如 程序 集 被 加 载 的 源 现场 ， 源 URL， 程 序 集 的 
hash 值 ， 代 码 的 身份 签名 ， 强 名 称 签名 和 安全 区 域 。 当 然 也 可 以 使 用 任何 其 他 的 对 象 来 作为 定 
义 特 定 程 序 的 访问 控制 证 据 ， 但 是 这 需要 添加 自 定 义 代码 去 处 理 这 些 证 据 。 许 可 请 求证 据 确定 
了 程序 集运 行 必须 具有 的 许可 ， 包 含 其 可 能 已 经 获得 的 许可 或 者 绝对 不 能 获得 的 许可 。 

证 据 由 两 种 方式 提供 。 由 装 人 程序 集 的 实体 ( 称 为 宿主 ) 提供 ， 或 者 由 初始 化 CLR 的 非 托管 
实体 (比如 正 ) 来 提供 , 或 者 装载 其 他 托管 代码 的 托管 代码 。 这 样 的 证 据 称 为 宿主 提供 的 (host- 
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Provided) 证 据 ， 它 使 用 前 面 提 及 到 的 默认 类 。 程 序 集 提供 的 (assembly- provided) 证 据 由 程序 集 自 
己 使 用 应 用 程序 特定 的 类 提供 ， 它 不 能 覆盖 宿主 提供 的 证 据 。 证 据 和 程序 集 以 及 所 谓 的 应 用 程 
序 域 相 关联 。 应 用 程序 域 包含 加 载 的 程序 集 ， 它 提供 执行 代码 的 进程 内 隔离 。 所 有 的 . NET 代码 
都 必须 运行 在 一 个 应 用 程序 域 中 。 


15.4.4 强 名 称 


强 名 称 为 来 自 不 同 发 行者 的 程序 集 创建 单独 的 保护 名 称 空间 。 发 行者 的 公 钥 伴随 着 程序 集 
名 的 其 他 部 分 被 添加 到 元 数据 中 ， 程 序 集 在 编译 的 时 候 进行 数字 签名 ， 签 名 最 后 被 写 人 到 程序 
集中 。 这 个 数字 签名 以 后 可 以 被 . NET 框架 校 验 ， 从 而 保护 名 称 空间 中 的 程序 集 不 被 修改 或 欺 
骗 。 和 认证 代码 签名 相 比 ， 在 这 个 处 理 过 程 中 不 需要 任何 的 证 书 。 


15. 4.5 许可 


代码 访问 许可 (code access permission) 代 表 访 问 资源 或 者 是 执行 受 保护 的 操作 的 许可 ， 比 如 
访问 非 托 管 代 码 。. NET 框架 提供 如 下 的 这 类 代码 访问 许可 ，FileIOPermission 提供 对 文件 或 者 目 
录 的 读 、 写 、 添 加 的 操作 许可 ，EventLogPermission 提供 访问 事件 日 志 服 务 的 读 写 许 可 ，Printing- 
Permission 提供 访问 打印 机 的 许可 ，SecurityPermission 提供 断言 许可 、 访 问 非 托 管 代 码 、 跳 过 校 
验 的 许可 。 事 实 上 ， 有 很 多 这 类 的 内 置 的 许可 。 

身份 许可 (identity permission) 代表 代码 身份 的 证 据 ， 这 样 一 来 ， 引 用 这 些 特定 的 代码 身份 的 
策略 能 够 被 定义 和 加 强 。 身 份 许可 和 程序 集 的 发 行者 、 强 名 称 、 源 位 置 、 源 URL 或 者 源 区 域 相 
关 。PrincipalPermission 代表 了 用 户 的 身份 ， 它 不 同 于 代码 访问 许可 ， 用 于 基于 身份 的 安全 策略 
中 。 为 了 简化 策略 管理 ， 许 可 可 以 从 许可 集中 获得 。 

许可 由 安全 策略 授权 给 程序 集 ， 必 选 的 许可 通过 在 代码 中 设置 安全 请 求 (security demand) % 
标识 。 在 执行 中 ， 安 全 请 求 触发 堆栈 遍历 去 检查 许可 是 否 已 经 授权 。 陈 述 的 要 求 存储 在 程序 集 的 
元 数据 内 ， 通 过 查看 元 数据 可 以 轻易 地 审查 。 检 查 发 生 在 方法 的 开始 处 ， 实 时 安全 操作 只 能 按照 
称 述 的 格式 解析 。 强 制 的 (imperative) 请 求 设置 在 代码 中 ， 它 使 得 更 多 复杂 的 安全 逻辑 在 访问 请 
求 时 也 能 够 处 理 动 态 参 数 。 


15. 4.6 安全 策略 


安全 策略 将 证 据 翻 译 成 许可 ， 代 码 组 是 构建 这 个 映射 的 主要 单元 。 一 个 代码 组 包括 成 员 状 
态 和 策略 声明 。 策 略称 述 本 质 上 就 是 成 员 所 持 有 的 许可 。 在 装载 的 时 候 ， 成 员 状 态 检 查 程 序 集 提 
供 的 证 据 是 否 符合 给 定 的 参数 。 例 如 ， 可 以 对 比 区 域 证 据 和 存储 在 成 员 状态 中 的 区 域 ， 或 者 对 比 
装载 的 程序 集 的 hash 值 和 成 员 状态 中 的 哈 希 值 。 

为 了 支持 策略 管理 ， 代 码 组 按 层级 编排 。 许 可 从 代码 组 根 开始 分 解 ， 寻 找 匹配 的 子 代 码 组 。 
对 排他 性 代码 组 (exclusive code group) 匹配 而 言 ， 这 样 的 代码 组 不 需要 和 其 他 代码 组 一 起 评估 ， 
它 只 能 从 这 个 代码 组 得 到 许可 。 更 多 的 ， 有 4 种 策略 级 别 : 组 、 机 器 、 用 户 、 应 用 程序 域 。 策 略 
级 别 包含 一 个 已 命名 的 许可 集 ， 一 个 代码 组 层次 ， 一 个 完全 可 信 程 序 集 列 表 。 证 据 在 每 一 个 级 别 
上 单独 的 评估 ， 结 果 为 交集 。 


15.4.7 堆栈 遍历 


一 次 请 求 安全 行为 会 触发 一 次 堆栈 游 走 。 在 基本 的 模型 中 ， 调 用 堆栈 上 的 所 有 程序 集 都 会 
被 检查 (发 出 命令 的 当前 代码 除外 ) ， 且 为 了 能 成 功 访 问 ， 要 求 其 有 请 求 的 许可 。 这 个 算法 可 以 
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被 Assert( 断言 ) 操作 所 修改 ， 断 言 操 作 可 以 断言 许可 并 结束 堆栈 游 走 。Deny( 拒 绝 ) 操作 也 可 以 
通过 抛 出 安全 异常 终止 堆栈 游 走 。 该 操作 在 测试 中 十 分 重要 。 只 人 允许 行为 和 拒绝 除了 特定 许可 
的 其 他 所 有 的 许可 的 Deny 操作 等 价 。 


15. 4.8 小 结 


.NET 使 用 和 Java 类 似 的 安全 策略 ， 托 管 代码 使 用 类 似 C# 的 类 型 安全 语言 ， 公 共 语 言 运行 库 
验证 中 间 语 言 ( 开 ) 代 码 来 确保 类 型 安全 。 代 码 而 非 用 户 被 授权 去 访问 资源 ， 并 且 代 码 执行 时 必 
须要 通过 认证 。 安 全 执行 算法 使 用 堆栈 遍历 。 构 建安 全 策略 有 很 多 可 用 的 方法 ， 解 释 要 求 的 许可 
有 两 种 不 同 的 方式 。 上 面 提 及 到 的 . NET 框架 都 提供 支持 。 在 实际 应 用 中 ， 你 需要 运用 谋略 去 设 
置 策略 ， 并 给 程序 集 赋予 许可 。 在 编写 时 ， 还 会 遇 到 更 多 的 新 问题 。 


15.5 cookie 


现在 ， 我 们 放下 基于 代码 的 访问 控制 去 看 看 访问 控制 中 的 其 他 范例 的 改变 。 接 下 来 讨论 万 
维 网 会 话 管理 的 安全 方面 ， 作 为 万 维 网 骨干 的 http 协议 最 初 被 设计 用 来 传输 HTML 文档 文件 ， 
它 是 一 个 无 状态 的 协议 。 所 有 的 http 请 求 都 被 当成 一 个 单独 的 事件 ， 即 使 它们 来 自 同一 个 客户 
端 。 因 此 ， 一 些 相关 的 操作 任务 不 得 不 经 常 地 重复 。 比 如 访问 一 个 需要 密码 的 网 页 ， 每 次 点 击 这 
个 网 页 时 都 需要 把 密码 返回 给 对 方 。http 1. 0 使 用 了 会 话机 制 来 解决 这 个 问题 ， 浏 览 器 保存 第 一 
次 请 求 这 个 页 面 时 候 输 入 的 密码 ， 这 样 在 后 续 响 应 服务 器 时 便 可 自动 加 入 这 个 密码 。 

处 理 包含 多 步 事务 的 应 用 程序 ( 比如 网 上 购物 ) 要 求 保持 这 个 事务 的 状态 ， 以 便 在 事务 过 程 
中 发 生 中 断 时 ， 能 够 使 服务 端 和 客户 端 之 间 保 持 一 致 的 状态 。 为 了 实现 这 个 目标 ， 客 户 端的 浏览 
器 将 事务 的 状态 保存 为 cookie( 图 15-7)， 这 样 服务 端 通过 获得 这 个 cookies 去 得 到 事务 的 客户 端 
的 当前 状态 。 利 用 cookie， 可 以 创建 安全 的 http 会 话 。 


客户 端 服务 器 











图 15-7 保存 在 客户 端的 cookie 


根据 保存 的 cookie 所 持续 的 时 间 ， 会 话 的 概念 已 超出 了 一 个 单一 事务 的 概念 。 服 务 提供 者 
可 以 利用 cookie 来 管理 客户 的 关系 ， 客 户 通过 http 请 求 和 服务 提供 者 联系 ， 但 是 http 请 求 却 没 有 
必要 去 识别 单个 的 用 户 。 因 此 服务 端 可 能 要 求 浏览 器 保存 永久 的 cookie， 这 个 cookie 保存 了 客户 
下 次 调用 时 服务 器 需要 引用 的 信息 。 

cookie 会 带 来 安全 问题 吗 ? cookie 不 可 能 侵害 系统 的 完整 性 。 它 们 仅仅 是 数据 而 不 是 可 执行 
代码 ， 独 立 的 cookie 不 会 向 服务 端 透露 信息 。 毕 竟 是 服务 端 要 求 浏览 器 保存 cookie 的 。 通 常 
cookie 只 是 一 些 特殊 的 域 ， 服 务 器 只 将 访问 权 给 予 属 于 它 的 域 的 cookie。 在 这 种 情况 下 ， 也 不 存 
在 新 的 机 密 性 问题 。 然 而 我 们 不 得 不 去 考虑 应 用 级 的 攻击 。 攻 击 者 可 能 是 一 个 服务 器 ， 通 过 创建 
客户 配置 文件 ， 结 合 由 不 同 服务 器 放置 的 cookie 或 者 是 长 时 间 观 察 客户 行为 得 到 的 信息 侵犯 客 
户 的 隐私 。 攻 击 者 也 可 能 是 一 个 客户 端 ， 它 试图 通过 改变 cookie 来 从 服务 器 得 到 本 来 没有 授权 
给 客户 的 好 处 。 例 如 ， 当 服务 器 使 用 cookie 保存 信用 体制 中 的 红利 点 时 ,客户 端 可 能 通过 增加 
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积分 来 获得 更 大 的 折扣 。 这 种 攻击 称 为 cookie 毒药 攻击 。 攻 击 者 可 能 是 第 三 方 ， 它 通过 学 习性 
的 过 程 来 猜测 客户 的 cookie。 然 后 利用 虚假 的 cookie 去 扮演 合法 的 客户 。 

客户 端 可 以 通过 设置 浏览 器 来 控制 cookie 的 存储 以 保护 它们 自己 ， 在 存储 cookie 前 ， 浏 览 
器 可 以 请 求 许可 。 这 很 容易 变 成 一 件 烦人 的 事 或 者 很 容易 致使 cookie 被 一 同 阻止 并 且 在 会 话 结 
束 时 有 删除 cookie 的 选择 权 。 服 务 器 可 以 通过 加 密 cookie 来 保护 自己 ， 使 用 适当 的 认证 也 能 防 
治 欺骗 攻击 。 

Hogben，Jackson，Woliken(2002 ) 提出 了 一 个 有 趣 合法 的 cookie 难题 P3P， 即 Platform 
for Privacy Preference。P3P 使 得 Web 站 点 可 以 解释 收集 到 的 用 标准 的 XML 格式 语言 描述 的 数 ， 
据 。 在 早期 的 P3P 版 本 中 ， 只 有 关于 重 获 cookie 的 策略 才 会 被 执行 。 从 技术 角度 看 这 是 合理 的 ， 
但 是 却 违 反 了 欧盟 个 人 资料 保护 指令 。 指 令 要 求 在 写 人 个 人 数据 时 需要 请 求 用 户 的 人 允许， 指令 
关注 与 保存 在 个 人 资料 数据 库 中 相关 的 隐私 。 当 用 户 相 关 的 数据 要 保存 在 其 他 的 系统 上 时 ， 在 
写 数据 时 需要 请 求 允许 。cookie 在 用 户 的 机 器 上 保存 属于 用 户 的 信息 。 这 个 敏感 的 操作 对 于 其 他 
部 分 只 允许 读 。 

经 验 教训 

立法 可 能 包含 老 的 技术 ，IT 相关 的 法 律 面临 着 它们 被 制定 的 那个 时 代 的 技术 挑战 。 同 时 对 
在 当时 那些 适用 于 特定 应 用 的 技术 ， 立 法 者 也 可 能 混合 一 些 关于 带 有 先 见 之 明 的 设想 。 因 此 一 
项 法 律 不 仅仅 是 规定 要 保护 的 目标 (尽管 该 项 到 目前 都 没有 改变 ) ， 还 有 保护 的 机 制 ， 尽 管 这 些 
机 制 在 新 的 应 用 中 不 一 定 是 最 好 的 选择 。 


15.6 简单 公 钥 基础 设施 


在 旧 的 访问 控制 范例 中 ， 访 问 规则 存储 在 本 地 受 保护 的 存储 器 中 。 在 分 散 式 的 访问 控制 
系统 里 ， 我 们 可 以 通过 加 密 的 方法 来 保护 访问 规则 的 完整 性 。 特 别 是 我 们 可 以 使 用 数字 签名 证 
书 来 编制 规则 。 基 于 代码 的 访问 控制 可 以 用 X. 509 身份 证 书 和 12. 5. 3 中 讨论 的 属性 证 书 来 
实现 。 

简单 公 钥 基础 设施 ( Simple Public Key Infrastructure; SPKI RFC 2692, ，2693 ) ， 是 一 种 支持 无 
用 户 身 份 的 授权 方案 。SPKI 的 设计 者 们 假定 访问 控制 中 使 用 的 名 字 仅 仅 是 个 本 地 含义 ， 访 问 许 
可 是 来 自 其 他 属性 而 非 用 户 名 字 。 因 此 ， 在 这 种 访问 控制 下 ， 名 字 仅 仅 是 访问 许可 (授权 ) 的 指 
针 。 安 全 策略 在 给 定 的 域 中 设置 规则 ， 比 如 说 大 学 系 别 。 用 来 表示 策略 的 名 字 必 须 和 域 一 起 才 有 
意义 ， 不 再 要 求 名 字 是 全 局 唯一 的 。 

当 域 间 有 交 夺 时， 我们 需要 从 其 他 的 本 地 名 称 空间 引用 和 名称。 为 了 避免 名 称 空间 的 混乱 ， 我 
们 需要 给 名 称 空间 一 个 全 局 的 唯一 的 标识 。 公 钥 加 密 系统 提供 了 很 好 的 解决 这 个 问题 的 方法 。 
随机 生成 的 公 钥 / 私 钥 对 在 极 大 程度 上 是 唯一 的 ， 公 钥 的 hash 值 也 是 如 此 。 发 行者 的 公 钥 (或 公 
钥 的 hash fH) 作为 其 定义 的 名 称 空间 的 唯一 标识 。 在 SPKI 术语 中 ， 这 样 的 密 钥 (key ) 被 称 为 主角 
(principal) ° 。 使 用 私 钥 签 名 的 名 称 证 书 定义 本 地 名 称 空间 中 的 名 字 。 

通过 授权 证 书 访问 许可 和 公 钥 直接 联系 了 起 来 ， 授 权证 书 至 少 包 含 发 行者 和 主体 ， 还 可 能 
包含 授权 比特 位 ， 许 可 和 有 效 条 件 。 发 行者 签署 证 书 并 授权 主体 ， 也 就 是 授予 主体 访问 许可 。 因 
此 ， 发 行者 是 批准 源 ， 策 略 也 由 其 设置 。 典 型 的 主体 就 是 公 钥 ， 或 者 密 钥 的 哈 希 值 ， 抑 或 是 密 钥 
的 名 称 。 证 书 校 验 链 的 根 密 钥 存储 在 访问 控制 列表 (ACL) 中 。 身 份 证 书 将 用 户 的 名 字 绑 定 到 一 
个 密 钥 ， 它 由 CA 发 行 而 不 是 授权 证 书 者 发 行 。 参 见 图 15-8。 








O ”这 里 的 术语 主角 、 主 体 和 第 4 章 中 的 意义 不 同 。 
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访问 权限 被 赋 给 公 铀 ， 相 应 的 私 钥 持 有 者 可 以 通过 发 行 对 应 许可 的 证 书 将 许可 授权 给 其 他 

主体 ， 有 两 种 方法 来 严格 这 个 授权 。 授 权 者 只 能 授予 它们 所 有 的 许可 ， 假 设 要 观察 一 个 这 样 的 设 

HRR: 一 个 key 持 有 者 可 能 会 授权 一 个 根本 无 法 执行 

的 许可 ， 它 需要 生成 一 个 新 的 密 钥 对 然后 把 许可 授予 给 eS 

那个 key。 在 这 种 情况 下 ， 这 样 的 设计 决策 被 证 明 是 正 mi / 

确 的 。 另 外 一 种 方式 是 用 一 个 标志 指示 该 证 书 的 许可 是 

否 可 以 再 进一步 授权 给 其 他 人 。 C= -一 
授权 证 书 和 访问 控制 列表 ( ACL) 有 相同 的 功能 ， 仅 。“ 公 久 

仅 是 在 保护 的 模式 上 不 同 而 已 。 证 书 是 由 发 行者 签名 

的 ， 而 访问 控制 列表 没有 签名 也 没有 发 行者 ， 并 且 它 们 

仅仅 存储 在 本 地 从 不 被 传输 。 证 书 和 访问 控制 列表 项 的 抽象 符号 为 元 组 。 授 权 处 理 的 算法 由 一 

个 5 元 组 描述 : < 发 行者 (issuer) ， 主 体 (subject) ， 委 派 (delegation ) ， 授 权 (authorization ) ， 有 效 

期 (validity date) > 。 发 行者 是 公 铀 或 者 是 访问 控制 列表 的 保留 字 “Self” ， 主 体 已 在 前 文 定义 ， 委 

派 比特 仅仅 是 一 个 布尔 值 ， 授 权 域 为 应 用 相关 的 许可 ， 有 效 性 被 定义 为 截至 开始 日 期 和 截至 结 

束 日 期 。 证 书 校 验 链 算法 使 用 两 个 5 元 组 作为 输入 ,输出 一 个 5 元 组 。 特 权 域 和 有 效 期 域 只 能 由 

各 自 的 交叉 算法 来 修改 。 


Input: < Issuerl , Subjectl, Dl, Authl, Vall > 
< Issuer2 , Subject2, D2, Auth2, Val2 > 








图 15-8 SPKI 中 的 认证 


IF Subject] = Issuer2 AND Dl = TRUE 
THEN output < Issuerl, Subject2, D2, 
Alntersect(Authl, Auth2), Vintersect(Vall, Val2) > 


SPKI 是 一 个 以 密 钥 为 中 心 的 PKI， 它 是 X 509 的 一 个 有 趣 的 替补 规范 ， 至 少 从 证 书 理论 角 
度 上 看 它 是 如 此 。SPKI 标准 化 了 某 些 自动 策略 决策 ， 比 如 说 授权 。 因 此 ， 我 们 必须 得 执行 检查 
以 确保 这 些 规则 符合 给 定 的 组 策略 。 不 能 够 通过 直接 引用 加 密 的 密 钥 去 解释 组 策略 。 


15.7 信任 管理 


一 个 请 求 访问 资源 的 主体 ( 同 第 4 章 的 定义 ) 出示 一 些 列 的 凭证 (credential)。 任 证 就 是 安全 
证 明 。 安 全 策略 声明 要 授予 此 次 访问 请 求 需要 哪些 凭证 。 主 要 考虑 3 种 因素 : 已 授予 主体 的 凭证 
R: 为 得 到 访问 权限 还 需要 的 凭证 集 ; 评估 需要 的 凭证 是 否 包含 于 已 授予 的 凭证 的 算法 。 

在 基于 身份 的 访问 控制 中 ， 用 户 名 和 密码 是 典型 的 凭证 。 授 权 的 和 请 求 的 凭证 常 在 主体 访 
问 令 牌 和 对 象 的 访问 控制 表 等 明确 的 地 方 。 检 查 凭 证 是 否 充足 的 算法 相对 就 很 简单 : 遍历 访问 
控制 表 ， 如 果 所 有 的 凭证 都 被 找到 则 授权 ， 和 否则 拒绝 授权 ， 并 且 引 用 监控 器 在 作 决 定时 不 请 求 第 
三 方 的 帮助 。 

在 开放 环境 下 ， 要 找到 授权 的 以 及 要 求 的 凭证 可 能 会 变 得 很 复杂 。 因 此 在 做 访问 决策 的 时 
候 第 三 方 就 有 可 能 加 入 。 考 虑 如 下 假设 的 一 个 示例 : XY 这 两 个 电信 提供 者 达成 了 一 个 服务 级 别 
的 协议 ， 人 允许 来 自 X 的 用 户 访 问 Y 提 供 的 服务 。Y 无 法 从 XX 获得 XX 的 客户 清单 ， 但 是 X 可 以 把 用 
户 的 证 书 和 校 验 密 钥 交 给 Y。 来 自 XX 的 客户 在 请 求 了 的 服务 时 出 示 他 们 的 证 书 , 了 回调 X 去 执行 
在 线 的 证 书 检查 。X 的 回复 将 作为 了 的 决定 输入 。 

信任 管理 是 由 Blaze, Feigenbaum and Lacy(1996 ) 针对 一 个 更 通用 、 更 灵活 的 访问 控制 方法 
提出 的 。 在 本 节 的 讨论 中 ， 我 们 将 重新 定义 一 些 术 语 。 在 SPKI 中 ， 主 体 可 以 是 公 钥 ， 我 们 可 以 
直接 授权 密 钥 持 有 者 所 能 执行 的 操作 ， 没 有 必要 验证 执行 访问 控制 的 用 户 ， 策 略 授权 的 行为 用 
应 用 特定 的 行为 描述 语言 格式 定义 。 断 言 将 公 钥 绑 定 到 行为 谓词 (predicate) 上 。 断 言 本 质 上 就 是 
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策略 声明 ， 在 请 求 执行 这 些 行 为 的 数字 签名 可 以 用 断言 中 给 定 的 公 钥 验证 时 ,或 者 在 请 求 的 行 
为 满足 谓词 时 ， 断 言 就 会 授权 行为 。 谓 词 可 以 使 用 任何 安全 的 解释 语言 来 写 。 有 了 谓词 ， 我 们 可 
以 说 明 比 访问 控制 列表 更 复杂 的 评估 算法 。 和 凭证 是 经 数字 签名 的 断言 ， 它 们 产生 授权 证 书 。 策 略 
是 本 地 存储 的 断言 ， 它 们 是 受信 的 根 ( 授 权 )。 信 任 关系 反映 了 接受 第 三 方 的 凭证 的 策略 决策 。 
信任 管理 为 策略 ， 和 凭证 和 信任 关系 提供 了 一 个 通用 语言 。PolocyMaker 是 第 一 个 信任 管理 系统 
(Blaze, Feigenbaum and Lacy, 1996), KeyNote 是 一 个 用 于 因特网 的 信任 管理 系统 (RFC 2704) 。 

在 一 个 信任 管理 系统 中 清楚 信任 的 含义 很 重要 。 当 我 们 将 信任 延迟 交付 给 第 三 方 时 ， 要 做 
一 个 策略 决策 来 赋予 他 们 做 断言 的 权力 。 在 评估 行为 请 求 时 我 们 会 考虑 这 个 断言 。 在 实际 生活 
中 ， 信 任 关 系 可 能 是 基于 不 同方 的 契约 关系 ， 也 有 可 能 是 基于 口语 语义 的 信任 ， 但 是 将 进入 信任 
关系 (可 能 与 信任 无 关 ) 的 基本 原理 与 信任 管理 系统 的 操作 方面 分 开会 更 加 的 安全 。 

访问 请 求 由 策略 决策 点 (又 名 一 致 性 检查 器 (compliance checker) 或 者 信任 管理 引擎 (trust 
management engine) ) 评 估 ， 其 输入 为 请 求 > 和 一 系列 的 凭证 C， 并 且 在 回答 如 下 这 样 的 问题 时 会 
引用 本 地 策略 P, (Blaze, Feigenbaum and Lacy, 1996) 。 

可 能 的 答案 有 “是 ”、“ 否 ”、“ 未 知 ” 或 者 一 个 表明 需要 更 深入 检查 的 标识 。 在 断言 语言 的 昂 
贵 性 和 符合 性 检查 器 的 复杂 性 上 ， 需 要 一 个 折衷 。 依 赖 于 语言 的 符合 性 检查 器 有 可 能 出 现 无 效 
的 情况 。 我 们 同样 需要 考虑 用 户 怎 么 才能 找到 适合 的 凭据 使 得 其 出 示 的 证 据 符 合 给 定 的 策略 。 
服务 端 是 否 需要 提供 信息 ， 是 否 需 要 发 布 所 有 的 策略 ? 策略 本 身 属于 敏感 的 信息 。 应 当 有 某 种 算 
法 可 让 用 户 计算 他 们 的 请 求 需要 的 证 据 集 或 者 有 一 种 用 户 可 以 引用 和 凭证 链 发 现 服 务 (credential 
chain discovery service ) 算法 。 

为 了 给 这 个 问题 一 个 更 大 的 思考 空间 ， 不 妨 考虑 这 样 的 一 种 联合 环境 (federated environ- 
ment); 有 几 个 组 织 合 作 ， 但 是 它们 都 有 各 自 的 安全 策略 ， 这 样 就 不 再 存在 只 有 单独 的 一 个 策略 
设置 实体 的 状况 。 策 略 间 就 必定 会 发 生 冲 突 。 在 这 样 的 条 件 下 ， 你 就 不 得 不 考虑 怎么 解决 冲突 ， 
以 及 不 存在 冲突 又 该 怎么 做 。 


15.8 数字 版 权 管理 


在 技术 上 说 ， 数 字 版 权 管 理 (DRM) 指 在 客户 机 器 上 执行 售 主 的 策略 。 这 和 传统 的 访问 控制 
范例 背道而驰 ， 系 统 上 执行 的 策略 不 再 由 系统 所 有 者 制定 而 是 外 来 者 。 对 手 不 再 是 试图 颠覆 系 
统 的 外 来 者 ， 而 是 一 个 试图 绕 过 安全 策略 的 所 有 者 。 安 全 的 目标 是 保证 由 外 来 者 解释 的 访问 控 
制 系统 的 完整 性 。 

为 了 实现 这 个 目标 ， 需 要 想法 让 拥有 者 改变 策略 设置 变 得 困难 。 如 果 对 手 是 一 个 技术 老手 ， 保 
护 机 制 可 能 不 得 不 深入 到 硬件 级 别 。 或 者 在 允许 下 载 前 ， 内 容 提供 者 要 求 一 份 有 关 目 标 机 的 硬件 和 
软件 配置 的 可 信和 报告 。 这 个 方案 可 以 在 运行 证 据 协 议 的 可 信 平 台 模块 上 实现 。( 参 见 12.6 节 )。 

从 技术 角度 看 ， 这 些 挑战 非常 有 趣 。 一 种 高 级 的 在 内 容 中 嵌 人 有关 内容 所 有 者 或 者 客户 的 
信息 的 技术 出 现 了 ， 它 就 是 数字 水 印 技术 。 但 是 最 大 的 问题 就 是 修改 或 者 移 除 数字 水 印 的 困难 ， 
以 及 对 音频 视频 内 容 的 影响 。 在 分 布 式 的 商业 模型 中 ，DRM 是 否 是 一 个 有 用 的 基础 的 话题 已 成 
为 了 一 个 热点 。 


15.9 深层 阅读 
要 知道 更 多 有 关 Java 和 .NET 安全 的 细节 信息 ， 可 参考 McGraw and FeHen( 1997) 和 McGraw 


La Machia et al. (2002) 的 著作 。 对 历史 感 兴 趣 的 读者 可 以 查阅 McGraw and Felten(7997) 的 著作 
去 了 解 在 Java 安全 早期 的 发 现 的 问题 。 作 为 DRM 历史 背景 ， 找 贝 代码 和 找 贝 保护 之 间 的 竞争 趣 
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事 ， 可 以 参看 Grover( 1992) 的 著作 。 当 前 的 有 关 基 于 代码 的 访问 控制 研究 请 参见 堆栈 调查 的 替 
换 ， 比 如 Fournet and Gordon( 2003) 的 著作 ， 亦 可 参见 策略 管理 ， 比 如 Besson et al (2004) 的 
著作 。 


15.10 ”练习 


练习 15.1 将 当前 浏览 器 的 安全 设置 文档 化 ， 你 的 系统 上 的 安全 相关 信息 存放 在 什么 地 方 ? 

练习 15.2 试 在 你 的 系统 中 找 出 cookie 文件 和 设置 cookie 存储 策略 的 选项 。 

练习 15.3 考虑 一 个 使 用 预 保留 cookie 保存 会 话 状态 的 应 用 程序 。 一 个 攻击 者 怎么 才能 动 
持 会 话 的 其 他 用 户 ? 这 个 程序 怎么 才能 保证 安全 ? 

练习 15.4 分 析 将 访问 规则 存储 在 证 书 而 不 是 访问 控制 列表 中 的 优点 。 

练习 15.4 可 以 使 用 程序 集 的 hash 值 或 者 是 程序 集 的 数字 签名 作为 其 身份 ， 试 比较 这 两 种 
方法 各 自 的 优点 和 缺点 。 

练习 15.6 考虑 一 个 调用 它 自己 六 次 的 递归 函数 。 比 较 没 有 尾 调 用 清除 和 有 尾 调用 清除 时 
堆栈 遍历 的 性 能 。 

练习 15.7 考虑 如 下 的 策略 : 由 于 职责 独立 的 原因 ， 并 不 允许 所 有 的 实体 去 执行 那些 可 以 
授权 给 其 他 实体 的 许可 ， 那 么 SPKI 要 怎么 改进 才能 支持 这 样 的 策略 。 

练习 15.8 给 出 一 个 不 是 因为 信任 的 原因 将 访问 决策 延迟 交付 给 第 三 方 的 应 用 实例 。 

练习 15. 9 在 某 些 环境 下 要 保护 运行 的 系统 上 的 移动 代码 是 可 取 的 。 那 么 这 个 目标 要 达到 
什么 样 的 程度 ? 列 出 那些 可 以 实现 的 保护 属性 和 不 可 能 实现 的 保护 属性 。 





第 16 章 MH AD 


首先 得 到 广泛 的 认可 的 移动 信息 技术 服务 是 第 二 代数 字 手 机 网 络 。 自 此 以 后 ,移动 服务 的 
数量 大 大 增加 ， 而 且 使 用 了 不 同 的 基础 技术 来 支持 更 广泛 的 应 用 。 移 动 服务 带 来 了 新 的 安全 挑 
战 。 其 中 的 有 些 挑战 源 于 技术 。 通 过 无 线 电 传输 的 信息 可 能 被 第 三 方 截取 。 当 一 个 设备 改变 它 的 
接 入 点 时 ， 安 全 会 话 应 该 持续 。 若 要 访问 一 个 无 线 网 络 ， 你 不 必 将 电缆 插入 插 模 ， 仅 需要 放 入 接 
人 点 的 范围 内 即 可 。 对 楼 群 和 房屋 的 物理 访问 控制 不 再 是 禁止 未 授权 的 用 户 访问 的 有 效 屏障 。 
其 他 的 一 些 挑 战 源 于 应 用 。 通 常情 况 下 ， 对 用 户 提供 某 种 服务 的 实体 与 管理 本 地 网 络 服务 访问 
的 操作 者 不 同 。 必 须要 考虑 用 户 、 网 络 运行 商 、 服 务 提 供 商 的 安全 的 重要 性 ， 这 也 可 能 是 法 律 实 
施 代理 的 要 求 。 

目标 

。 研究 特定 的 对 移动 服务 的 新 的 安全 挑战 和 攻击 。 

。 概述 对 采用 不 同 移动 服务 的 安全 解决 方案 。 

s 给 出 一 些 使 用 加 密 机 制 的 新 方法 。 

。 讨 论 在 TCP/IP 网 络 中 的 位 置 管理 的 安全 方面 。 


16.1 引言 


第 一 代 的 模拟 移动 手机 系统 提供 了 直接 拨号 ， 蜂 窝 间 的 自动 交 递 以 及 呼叫 转移 功能 。 在 安 
全 内 容 方面 ， 以 下 是 一 个 值得 注意 的 有 趣 的 现象 ， 犯 罪 分 子 试图 用 后 一 个 特征 ( 即 呼叫 转移 ) 来 
编造 托 辞 ， 因 此 电信 专家 被 法 庭 传讯 来 解释 : 为 什么 回答 一 个 特定 电话 的 人 没有 必要 一 定 要 在 
电话 呼叫 的 时 间 、 在 某 个 特定 的 地 点 。 用 于 认证 的 简单 的 挑战 -应 答 协 议 以 明文 的 方式 传输 相关 
机 密会 致使 某 些 网 络 遭 到 费用 诈骗 。 虽 然 存在 语音 流量 的 模糊 性 ， 但 正如 第 1 章 所 提 到 的 ， 没 有 
很 好 的 保护 措施 来 防止 窃听 。 


16.2 GSM 


为 了 对 抗 第 一 代 网 络 的 低 安 全 性 ， 欧 洲 于 1982 年 成 立 了 欧洲 邮政 电信 会 议 (Conference of 
European Posts and Telegraph, CEPT) 的 研究 性 组 织 移动 通信 特别 小 组 ( Groupe Spécial Moblile, 
GSM) ， 来 制定 第 二 代 移 动 网 络 系统 。 这 个 数字 网 络 的 设计 目标 是 : 良好 的 通话 质量 、 低 价格 的 
终端 系统 、 低 廉 的 运行 费用 、 支 持 国际 漫游 、 支 持 手持 移动 设备 、 与 ISDN 兼容 性 和 支持 新 的 服 
务 ( 如 短 消息 服务 ) 。 在 1989 年 ，GSM 责任 移交 到 欧洲 电信 标准 化 协会 (ETSI) 接管 。1990 年 颁 
布 了 GSM 规格 Phase 1, GSM 也 被 重新 命名 为 全 球 移动 通信 系统 。 

如 果 联 系 政治 环境 对 GSM 技术 发 展 的 影响 ， 我 们 可 以 更 好 地 理解 一 些 GSM 技术 方案 的 设 
计 决 策 。 一 个 国际 性 通用 系统 必须 要 同时 考虑 各 个 国家 的 不 同 法规 以 及 公用 系统 中 不 同 的 加 密 
方法 。 对 强 密码 学 的 使 用 限制 使 用 依然 是 一 个 具有 广泛 争议 话题 ， 这 个 话题 持续 到 二 十 世纪 九 
十 年 代 中 期 。 而 且 ， 法 律 实施 权威 要 求 获得 与 固定 网 络 中 相似 的 窃听 移动 网 络 的 权利 。 

GSM 的 主要 安全 目标 是 为 了 防止 费用 诈骗 (对 服务 的 未 授权 使 用 ) 和 对 语音 通信 以 及 无 线 电 
信道 的 信号 数据 的 保护 。 一 旦 是 在 固定 的 网 络 上 通信 ， 就 不 需要 额外 的 密码 保护 。 同 样 ， 这 也 是 
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对 物理 安全 的 一 点 贡献 。 它 使 得 追踪 被 盗 的 终端 设备 成 为 可 能 ， 而 这 个 特性 不 经 常用 到 ?” 。 
16.2.1 部 件 


每 个 GSM 的 用 户 都 是 一 个 归属 网 络 (home network) 的 一 个 订阅 者 。 一 个 服务 被 请 求 的 网 络 
被 称 为 被 访 网 络 (visited network ， 亦 称 为 服务 网 络 。 一 个 移动 站 (Mobile Station, MS), RFPL 
由 移动 设备 ( Mobile Equipment, ME) $I JA P 4% 5) #838 ( Subscriber Identity Module, SIM) 组 成 。 
SIM 是 一 块 智能 芯片 ， 它 在 MS 中 进行 加 密 操作 以 及 存储 相关 加 密 密 钥 。SIM 也 可 能 包含 用 户 其 
他 相关 的 个 人 数据 ， 像 个 人 电话 短 以 及 提供 与 移动 设备 的 个 人 独立 性 。 在 网 络 方面 有 基站 (Base 
Station ，BS) ， 移 动 交 换 中 心 (Mobile Switching Center, MSC), ， 用 户 的 归属 位 置 寄存 器 (Home 
Location Register，HLR ) ， 认 证 中 心 (Authentication Center, AuC) 和 来 访 者 位 置 寄存 器 (Visitor 
Location Register, VLR). HLR 和 VLR 管理 用 户 的 路 由 和 漫游 信息 。 认 证 中 心 管 理 用 户 的 与 安 
全 相关 的 信息 。 不 同 网 络 运 行商 之 间 的 关系 通过 服务 水 平 协议 (Service Level Agreement, SLA) 
来 管理 。 

GSM 用 户 的 标识 就 是 国际 移动 用 户 标识 (IMSI) 。 用 户 和 HLR/AuC 共享 一 个 128 比特 的 用 
PWR K, SIM Æ K,, IMSI, TMSI( 后 面 解释 ) ， 以 及 当前 64 比特 的 密 钥 KK... BK AB 和 
A8( 后 面 解释 ) 应 用 在 SIM 中 。PIN( 个 人 识别 码 ) 控 制 对 SIM 的 访问 。 当 三 次 输入 错误 的 PIN 码 
BY, SIM 就 被 锁 上 。 可 以 用 个 人 解密 密 钥 ( Personal Unblocking Key, PUK) 解锁 。 


16.2.2 ”临时 移动 用 户 标识 


当 一 个 MS 接 入 网 络 时 ， 他 必须 通过 一 些 方法 来 识别 自己 。 如 果 每 次 呼叫 中 使 用 一 个 固定 的 
标识 ， 即 使 通信 被 加 密 ， 用 户 的 行动 仍 有 可 能 被 追踪 。 为 了 更 进一步 保护 用 户 隐私 ， 当 上 且 仪 当 
MS 和 GSM 网 络 作 初 始 化 联接 时 才 传 送 未 被 加 密 的 IMSI。 因 此 ， 一 个 临时 移动 用 户 标识 (Tem- 
porary Mobile Subscriber Identity, TMSI) 被 分 派 到 被 访问 的 网 络 以 及 被 用 在 MSC 移动 交换 中 心 的 
整个 范围 。IMSI 不 用 来 标识 无 线 通路 。VLR 存在 一 个 从 TMSI 和 位 置 区 域 标识 (Location Area 
Identity) 到 IMSI 的 映射 {|TMSI，LAI} ，IMSI| 。 当 MS 进入 另 一 个 MSC 时 ， 就 会 分 配 一 个 新 的 
TMSI。 如 果 信 号 程序 允许 ， 传 输 移 动用 户 身份 信息 的 信号 信息 元 件 就 会 在 无 线 线路 上 被 加 密 。 

经 验 教训 

位 置信 息 的 保护 是 一 个 安全 问题 ， 特 别 是 对 于 移动 服务 来 说 。 固 定 标识 会 泄露 移动 站 的 运 
动 信息 。 


16.2.3 密码 算法 


GSM 使 用 对 称 密码 学 来 进行 加 密 和 用 户 认证 。 曾 经 考虑 过 使 用 公 钥 加 密 技 术 ， 但 是 在 1980 
年 做 出 决策 的 时 候 ， 公 钥 密码 技术 还 不 是 一 个 可 行 的 选择 。 有 3 种 加 密 算法 : 认证 算法 A3 和 用 
在 信号 和 用 户 数 据 上 的 加 密 算法 A5 ， 以 及 密 钥 生成 算法 A8。 这 些 算法 是 不 对 GSM 谅解 备 忘 
的 成 员 公 开 的 ， 但 是 最 终 还 是 被 泄露 或 逆向 工程 了 。 

算法 A3 和 AS 被 用 户 和 家 庭 网 络 共享 。 因 此 ， 各 个 网 络 都 可 以 选择 自己 的 算法 A3 和 A8, 
只 是 它们 的 输入 和 输出 的 格式 必须 给 定 。 算 法 A3 和 A8 从 随机 口令 RAND 和 密 钥 K;， 计 算 一 个 
鉴 权 响应 符号 RES 和 一 个 密 钥 K。。 人 处理 时 间 应 该 在 最 大 值 之 内 ， 如 算法 A8 在 500 毫秒 之 内 。 算 
法 A3 和 AS 的 各 种 建议 由 GSM/MoU 管理 ， 其 中 的 一 个 建议 为 算法 COMP128 。 这 个 算法 安全 





”在 联合 王国 的 犯罪 统计 中 ， 学 生 间 的 手机 盗 窒 成 为 一 个 不 可 忽视 的 问题 时 ， 服 务 提供 者 被 强烈 建议 实现 跟踪 被 
盗 手 机 机 制 。 





190 R16 = 





性 较 弱 ， 易 于 受到 从 SIM 卡 中 窃取 密 钥 K 的 攻击 。 用 这 个 密 钥 就 可 以 复制 设备 。 慎 重 的 服务 提 
供 商 还 采取 了 比 A3 和 AS 算法 更 安全 的 加 密 算法 。 并 且 易 于 受到 从 SIM 卡 中 得 到 的 密 铀 K, 的 攻 
击 。 用 这 个 密 钥 就 可 以 复制 设备 。 慎 重 的 服务 提供 者 会 在 A3 或 A8 中 使 用 更 多 的 安全 选择 。 

所 有 的 用 户 和 网 络 运行 商 共享 算 法 A5。 这 个 算法 必须 被 标准 化 。 该 算法 有 两 个 版 本 : A5/1 
和 安全 更 低 的 输出 版 本 A5/2。 尽 管 这 个 算法 没有 官方 的 详细 说 明 书 , 但 是 两 个 版 本 的 破解 算法 
都 已 经 出 版 了 。 i 


16.2.4 用 户 身份 认证 


有 两 种 情况 网 络 将 触发 用 户 认 证 ， 一 是 在 重启 MSC/VLR 后 第 一 次 网 络 访问 时 ， 或 者 是 在 用 
户 申请 访问 服务 时 ， 比 如 一 个 移动 呼叫 的 建立 或 者 终止 的 请 求 。 如 果 用 户 申请 改变 移动 交换 中 
心 和 移动 位 置 寄存 器 中 的 与 用 户 相关 的 信息 ， 如 关于 VLR 的 改变 的 位 置 更 新 或 密 钥 序列 号 的 不 
匹配 那么 也 会 执行 用 户 认证 。 

图 16-1 描述 了 认证 过 程 中 的 信息 处 理 流程 。 从 ME 到 VLR 的 初始 信息 包含 了 用 户 标识 符 : 
TMSI 或 者 IMSI, VLR 把 TMSI 映射 到 IMSI， 并 将 IMSI 通过 男 定 子 网 传 给 HLR/AuC。AuC 产 
生 一 个 不 可 预测 的 128 比特 的 口令 RAND 并 计算 应 答 符号 RES = A3(K,, RAND) 和 一 个 64 比 
特 的 加 密 密 钥 K. = A8 ( K,，RAND ) 。 三 元 组 {RAND，RES，K.| 被 送 到 VLR, VLR 存储 了 
RAND 和 KK,， 并 将 质询 RAND 传输 给 移动 站 。 密 钥 K, 仅 在 定位 区 内 有 效 。 


oo 一 无 线 连 接 Bow 固定 子 网 一 ~ HLR/AuC 
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图 16-1 GSM 中 的 用 户 身份 认证 


在 MS 中 , 应 答 SRES = A3(K,，RAND) 在 用 户 身份 识别 卡 (“签名 "是 GSM 中 的 术语 ,但 
”不 是 数字 签名 ) 中 被 计算 出 来 并 被 MS 传送 到 VLR. VLR 比较 SRES 和 RES。 如 果 两 个 值 匹配 则 
认证 成 功 。 在 被 访问 网 络 中 ,为 了 加 速 随后 的 认证 ， 认 证 中 心 将 几 个 三 元 数组 {RAND,， RES, 
Ke} 3&3) VLR, VLR 则 将 它们 依次 用 于 用 户 认证 。 


16. 2.5 加 密 


通常 情况 下 ， 所 有 的 语音 和 非 语音 通信 的 无 线 传输 都 已 被 加 密 。 MERU I ER EKAA 
种 算法 ， 或 者 是 否 不 用 加 密 即 不 提供 机 密 性 保护 。 如 果 必 要 ， 那 么 MS 就 会 对 网 络 发 送信 号 
诉 网 络 自己 支持 的 加 密 算 法 。 接 着 服务 网 络 就 会 基于 优先 权 选 择 一 种 它 支持 的 算法 ， 并 将 其 选 
择 发 送 给 移动 站 。 

密码 指示 器 (ciphering indicator) 允许 ME 探知 加 密 未 开启 并 为 用 户 标 记 它 。 归 属 网 络 操作 员 
可 以 通过 设置 SIM 中 相应 的 管理 数据 域 (EFAD) 使 该 特征 无 效 (GSM 11. 11)。 如 果 在 SIM 中 没 
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有 禁止 它 ， 则 当 联 接 是 或 者 变 成 不 可 加 密 的 状况 时 ， 都 应 该 给 予 用 户 一 个 指示 (GSM 02.07, 
7.0.0 版 本 ，1998 发 布 )。 

加 密 算法 AS 是 一 个 用 于 114 比特 帧 的 流 加 密 器 。 每 个 帧 的 密 钥 都 从 密 钥 K, 中 和 通用 的 22 
比特 的 帧 数据 推 知 。 无 线 连接 有 相当 多 的 噪音 ， 因 此 流 加 密 器 比 块 加 密 器 更 加 可 取 。 使 用 块 加 密 
器 的 话 ， 密 码 中 的 一 个 比特 的 密码 电文 的 错误 都 会 影响 整个 明码 帧 。 在 流 加 密 器 中 ， 一 个 比特 的 
密码 文 的 错误 仅 影 响 单个 明码 电文 的 比特 位 。 据 现在 的 标准 ，64 比特 的 密 铀 长 度 是 相当 短 的 ， 
密码 分 析 算 法 A5 进一步 减少 了 有 效 密 铀 长 度 。 

经 验 教 训 

物理 网 络 层 的 特点 与 所 采用 的 加 密 算 法 是 相关 的 。 


TDMA 帧 号 (22 比特 ) TDMA W5 ( 22 比特 ) 





图 16-2 从 MS 到 MSC 的 GSM 帧 加 密 


16. 2.6 基于 位 置 的 服务 


GSM 网 络 记录 了 移动 设备 的 位 置 。 这 个 信息 可 以 用 于 提供 基于 位 置 的 服务 (Location- based 
Service，LBS) 。 如 为 监视 器 提供 交通 信息 。 也 有 一 些 紧急 定位 服务 ， 即 给 出 对 某 个 紧急 号 码 进 
行 呼叫 的 移动 设备 的 位 置 。 在 有 的 国家 这 种 服务 是 强制 性 的 ， 如 美国 法 律 要 求 移动 定位 的 准确 
度 为 125 米 。 


16.2.7 小 结 


在 GSM 中 的 挑战 - 回应 认证 不 会 以 明文 的 方式 传输 秘密 ， 因 此 第 一 代 和 手机 网 络 的 主要 漏洞 
被 消除 了 。 通 过 无 线 链 路 的 语音 通信 被 加 密 了 ， 但 是 离开 基站 后 ， 呼 叫 以 明文 方式 传播 。 信 号 数 
据 的 加 密 是 有 选择 性 的 ， 但 是 能 要 求 移动 设备 关闭 加 密 。 利 用 TMS! 可 以 在 一 定 程度 上 保护 位 置 
隐私 ， 但 是 攻击 者 可 能 会 使 用 所 谓 的 IMSI 捕获 器 ， 让 移动 设备 使 用 IMSI 来 回复 最 初 的 认证 。 由 
于 网 络 没有 被 移动 台 认 证 ， 所 以 说 这 种 攻击 是 有 可 能 的 。 法 律 实施 代理 可 以 取得 用 户 的 移动 数 
据 的 记录 。 用 户 标识 (IMSI) 和 设备 标识 (IMEI) 是 分 离 的 ， 这 也 为 追踪 被 盗 设备 提供 了 支持 。 

人 们 对 GSM 网 络 安 全 性 的 主要 不 满 在 于 没有 公开 一 些 加 密 算法 以 便于 对 这 些 算法 进行 公开 
研究 以 及 仅 提 供 网 络 对 用 户 的 单 边 认证 而 没有 用 户 对 被 访 网 络 认 证 。 

GSM 安全 的 总 体 评 价 必须 考虑 技术 之 外 的 因素 。 许 多 GSM 诈骗 的 例子 都 攻击 收入 流 (reve- 
nue flow) 而 不 是 数据 流 ， 并 且 不 会 破坏 潜在 的 技术 。 在 漫游 诈骗 (roaming fraud) 中， 签名 从 归属 
网 络 中 带 出 。SIM 卡 被 运 到 国外 并 被 用 在 被 访问 网 络 中 。 诈 骗 者 不 为 所 打 电 话 付费 ( 软 货币 诈 
骗 ) ， 但 是 归属 网 络 必须 为 诈骗 者 所 使 用 的 服务 支付 网 络 访问 费用 ( 硬 货币 诈骗 ) 。 这 里 存在 诈骗 
者 和 无 耻 的 网 络 运 行商 相互 勾结 的 机 会 。 在 费 率 优惠 的 诈骗 中 ， 不 知情 的 用 户 被 诱骗 去 回 一 个 
攻击 者 拥有 的 费 率 优惠 号 码 ， 这 样 攻击 者 就 会 用 现 有 的 收费 体系 来 获得 受害 者 的 钱 。 犯 罪 分 子 
开通 一 个 费 率 优惠 服务 并 向 他 们 所 拥有 的 号 码 做 出 欺骗 性 呼叫 ， 然 后 向 网 络 运行 商 领取 他 们 收 
人 的 份额 ， 当 网 络 运行 商 意 识 到 这 个 诈骗 时 ， 诈 骗 者 已 经 消失 了 。 
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对 策 可 以 被 放 在 用 户 级 上 ， 如 用 户 在 回 一 个 电话 时 要 提高 警惕 性 ， 或 者 放 在 法 律 系统 中 ， 如 
阐明 在 网 络 商业 模式 中 可 能 对 用 户 产 生 费 用 的 途径 。GSM 运营 商 已 经 着 手 使 用 先进 的 诈骗 探测 
技术 以 减少 损失 ， 如 基于 神经 网 络 的 早期 探测 技术 。 

经 验 教训 

在 分 析 提 供给 终端 用 户 的 安全 性 时 ， 不 要 忽略 应 用 程序 级 的 攻击 。 


16.3 通用 移动 通信 系统 


第 三 代 移动 通信 系统 的 研发 始 于 20 世纪 90 年 代 初 。 其 中 的 一 个 系统 就 是 通用 移动 通信 系统 
( Universal Mobile Telecommunications System, UMTS), 。 通 用 移动 通信 系统 的 标准 化 组 织 是 3G 合 
作 项 目 (3G Partnership Project, 3GPP), 3GPP 的 国际 合作 伙伴 有 ARIB (日 本 ) 、ATIS (北美 ) 、 
CCSA( 中 国 ) 、ETSI( 欧 洲 ) 、TTA( 韩 国 ) 、TTC( 日 本 )” 。 第 一 个 通用 移动 通信 系统 的 详细 说 明 
在 1999 年 出 版 。 通 用 移动 通信 系统 的 安全 架构 与 GSM 特别 相似 。 每 个 用 户 拥 有 一 个 作为 用 户 设 
备 一 部 分 的 通用 用 户 识 别 模块 ， 并 在 归属 网 络 和 认证 中 心 共享 一 个 密 钥 。 用 户 设 备 要 求 从 被 访 
网 络 或 服务 通用 分 组 无 线 业务 节点 ( Serving GPRS Support Node，SGSN) 请 求 服务 。 


16.3.1 假 基 站 攻击 


在 GSM 中 ， 网 络 没 有 被 移动 设备 认证 。 因 此 ， 对 于 使 用 IMSI 认证 的 请 求 或 者 是 对 于 关 掉 
加 密 的 请 求 ， 移 动 设备 不 能 区 分 它们 是 合法 的 请 求 还 是 来 自 于 一 个 伪造 的 基站 的 请 求 。 为 了 解 
决 这 个 问题 ,一 种 可 能 就 是 要 求 移动 设备 和 网 络 的 相互 认证 。 但 有 几 种 原因 阻碍 这 种 方案 。 移 动 
设备 仅 在 和 当地 网 络 联系 时 有 预先 的 联系 ， 因 此 对 被 访 网 络 的 直接 认证 是 不 可 行 的 。 扩 展 用 于 
相互 认证 的 挑战 一 回应 协议 也 不 能 阻止 假 基站 的 攻击 。 攻 击 者 仅 需 要 等 待 真正 的 基站 的 认证 完 
成 ， 接 着 通过 发 送 比 基 站 更 强 的 信号 来 和 移动 设备 通信 。 而 且 ， 加 密 认证 机 制 在 噪音 信道 上 的 有 
使 用 限制 。 在 消息 里 的 任何 比特 的 错误 都 将 引起 认证 的 失败 。 因 此 ， 认 证 的 消息 越 长 ， 由 于 传输 
错误 ， 被 拒绝 的 可 能 性 就 越 大 。 

16.3.3 节 采用 移动 通信 系统 来 防御 假 基 站 攻击 。Mitchell and Pagliusi(2003) 给 出 了 一 种 关于 
这 种 机 制 的 更 深层 次 的 讨论 。 


16.3.2 meee 


各 个 服务 提供 商 的 认证 函数 11 和 f2 以 及 密 钥 生成 函数 /3，J4 和 f5 是 不 同 的 。 为 AKA K 
数 推荐 的 MILENAGE 体系 ， 其 核心 部 分 包括 对 128 位 的 块 的 块 加密 器 和 一 个 128 比特 的 密 钥 。 
无 线 连接 的 加 密 算 法 和 信号 数据 的 完整 性 检查 必须 被 标准 化 。 通 用 移动 通信 系统 采用 了 KASU- 
MI, HARALA 64 比特 的 块 和 128 比特 的 密 钥 的 8 轮 Feistel 密码 。KASUMI 被 用 在 用 来 加 密 
的 OFB 模式 的 变 体 ， 以 及 用 于 完整 性 保护 的 CBC- MAC 模式 的 变 体 中 。 所 有 为 通用 移动 通信 系 
统 的 算法 被 公开 ， 并 且 均 已 经 经 过 了 密码 分 析 。 


16.3.3 UMTS 认证 和 密 钥 协议 


归属 网 络 (AuC ) 和 用 户 (USIM ) 共享 一 个 128 比特 的 密 钥 K， 并 拥有 一 个 同步 的 序列 号 
SQN。 为 了 对 认证 请 求 进行 应 答 ， 认 证 中 心 产 生 了 随机 质询 RAND 和 一 个 期 望 应 答 XRES = f 2 
(RAND, KK) 。 认 证 中 心 也 会 计算 出 一 个 128 比特 的 密 钥 CK =f 3(RAND, K), — 128 比特 的 
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整数 密 钥 IK =4(RAND, 天) ， 一 个 48 比特 的 匿名 密 钥 AK =f5(RAND, K), ， 质 询 RAND 的 
MAC， 以 及 序列 号 SEQ ， 和 认证 管理 字段 (包含 密 钥 的 生命 期 )( 图 16-3) 。 认 证 中 心 接着 会 创建 
AUTN = {SQN@AK, AMF, MAC} 并 发 送 认证 向 量 { RAND, AUTN, XRES, CK, IK} | VLR/ 
SGSN， 它 存储 IMSI K| RAND, AUTN, XRES, CK, IK} 和 给 用 户 设备 传送 RAND 和 AUTN。 

用 户 收 到 RAND 和 AUTN 后 ，USIM 首先 计算 出 AK =f5(RAND, K) 和 SQN = (SQN@AK) 
@AK( 图 16-4) 。 接 着 从 RAND, SQN 和 AME 计算 得 到 期 望 的 消息 认证 代码 XMAC， 并 与 收 到 
的 MAC 值 相 比较 。 这 样 可 证 实 RAND 和 AUTN 是 否 是 本 地 认证 中 心 产生 的 。 如 果 不 匹配 ， 
USIM 就 中 断 运行 的 协议 ， 并 对 VLR 发 出 拒绝 消息 。 否 则 。USIM 就 继续 协议 并 检查 SQN 是 否 
能 探测 重 致 攻击 。 如 果 检 查 失 败 了 ， 一 个 同步 错误 信号 就 被 送 到 VLR 中 。 因 此 ， 是 密 钥 的 更 新 
和 信和 号 数据 的 完整 性 保护 的 配合 而 不 是 通过 对 服务 网 络 的 认证 阻止 了 假 基站 的 攻击 。 


AMF son Rane 


| 


So ere 


MAC XRES CK 














16-3 AuC 中 认证 向 量 的 产生 


AUTN 











RAND SQN@AK AMF MAC 
“$ | 
7 SON 
f2 f3 få K— fl 
RES CK IK XMAC 


图 16-4 USM 中 的 认证 


最 后 ，USIM 通过 RAND 和 保密 密 钥 天 计算 应 答 RES 密 钥 天 中 的 密 钥 CK 和 天， 并 访问 位 
置 寄存 器 VLR 返回 应 答 RES。VLR 通过 比较 RES 和 XRES 来 认证 USIM( 图 16-5) 。 
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图 16-5 UMTS 中 的 认证 和 密 钥 协议 
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16.4 移动 IPv6 的 安全 性 


当 用 户 是 移动 的 并 且 与 提供 服务 的 网 络 运行 商 没 有 预先 建立 联系 的 时 候 ，GSM 和 UMTS 中 
的 安全 问题 便 是 对 服务 的 访问 控制 。 在 这 一 节 中 我 们 将 用 移动 的 Pv6 来 说 明 另 一 种 移动 问题 。 
当 设 备 改变 其 位 置 时 ， 其 他 节点 怎么 确认 设备 的 新 地 址 信息 是 否 正确 。 在 这 样 的 情况 下 ， 标 准 的 
补救 办 法 是 认证 ， 但 是 我 们 面临 两 个 问题 。 为 了 认证 消息 ， 我 们 必须 知道 发 送 实体 的 标识 。 在 
IP 体系 中 ， 实 体 是 卫 地 址 ， 我 们 必须 将 一 个 加 密 密 钥 和 这 个 地 址 联系 起 来 。 建 议 用 一 个 PKIC 
开 密 钥 基础 设施 ) 来 实现 这 个 目的 ， 但 是 当前 没有 我 们 可 以 容易 使 用 的 PKI 而 且 这 种 情况 不 会 很 
快 地 改变 。 

第 二 ， 数 据 源 认证 没有 解决 我 们 的 问题 ， 在 有 线 网 络 的 “ 旧 ” 的 背景 下 ， 一 个 节点 可 能 对 其 
身份 说 谎 。Alice 可 能 声称 自己 是 Bob 来 得 到 发 给 Bob 的 消息 。 一 个 移动 节点 可 能 谎 称 自己 的 身 
份 和 位 置 。Alice 可 能 声称 Bob 处 于 她 的 位 置 以 致 打算 给 Bob 的 通信 被 传 给 了 她 。 这 仍然 是 “ 旧 ” 
攻击 的 变 体 。Alice 可 能 声称 Bob 不 存在 ， 以 致 打算 发 送 给 Bob 的 信息 丢失 了 。 这 两 种 攻击 都 可 
能 通过 核对 Bob 给 出 的 关于 他 位 置 的 信息 来 阻止 。 

还 有 一 种 拒绝 服务 攻击 ，Alice 可 能 声称 她 在 Bob 的 位 置 ， 这 样 可 能 给 她 的 信息 就 送 给 了 
Bob, 7£&* sk Æ (bombing attack) 中 ，Alice 预定 了 许多 信息 ， 并 将 其 发 送 到 Bob Hi. Ha 
来 自 于 Alice 的 关于 Alice 的 位 置信 息 在 这 种 情况 下 不 会 有 任何 帮助 。 信 息 来 自 于 她 ,但 是 她 却 
谎 称 了 她 的 位 置 。 

又 炸 攻 击 是 一 个 流 控 制 问题 。 数 据 被 送 给 没有 请 求 数 据 的 受害 者 。 对 原始 的 位 置信 息 的 认 
证 方法 不 能 阻止 么 炸 。 核 对 接收 者 收 到 的 数据 流 是 否 是 想 要 收 到 的 数据 流 的 方法 可 能 更 合适 。 为 
了 取代 原始 认证 ， 我 们 需要 一 个 一 个 目的 地 授权 来 给 它 发 送信 息 。 流 控制 问题 主要 放 在 传输 层 处 
理 。 但 最 后 还 在 IP 层 进行 处 理 ， 是 因为 不 这 样 处 理 的 话 ， 其 他 的 所 有 传输 协议 都 必须 被 修改 。 

经 验 教训 

移动 性 改变 了 安全 策略 的 规则 。 在 固定 的 网 络 中 ， 节 点 可 能 在 不 同 的 会 话 中 采用 不 同 的 标 
识 (如 : 在 IPv4 中 的 NAT() 网 络 地 址 转换 ) ， 但 是 在 每 次 会 话 中 当前 标识 都 是 消息 要 发 送 到 的 位 
置 。 对 于 移动 节点 ， 我 们 可 以 把 标识 和 位 置 看 成 两 个 分 开 的 概念 。 


16.4.1 移动 IPv6 


移动 Pv6 详细 说 明了 一 个 节点 和 一 个 位 置 。 一 个 128 比特 的 移动 IPv6 的 地 址 由 64 比特 的 子 
网 前 缀 (位 置 ) 和 一 个 64 比特 的 接口 ID( 通 过 前 缀 来 表明 位 置 范围 内 的 一 个 标识 )。 移 动 节点 的 
IPv6 地 址 和 国定 节点 的 没有 区 别 。 移 动 节点 在 归属 地 址 (home address, HoA) 中 是 可 以 寻 址 的 ， 
不 管 它 当前 连接 到 归属 网 络 或 远离 归属 网 络 。 归 属地 址 是 一 个 在 其 归属 网 络 里 被 分 配给 移动 节 
点 的 下 地 址 。 移 动 节点 和 其 本 地 代理 有 一 个 预先 配置 的 下 安全 联合 ， 这 个 安全 联合 组 成 一 个 安 
全 通道 。RFC 3776 详细 说 明 用 来 保护 MIPv6 的 ESP 的 使 用 ，MIPv6 在 手机 和 本 地 代理 之 间 发 送 
信号 。 当 移动 节点 和 一 些 远离 本 地 网 络 的 外 界 站 点 相 联 系 时 ， 它 在 转交 地 址 (care- of address, 
CoA) 中 也 是 可 寻 址 的 。 转 交 地 址 是 一 个 带 有 来 自 被 访问 的 外 界 子 网 前 缀 的 中 地址 。 


16.4.2 ”安全 绑 定 更 新 


移动 节点 的 归属 地 址 和 转交 地 址 的 联合 被 认为 是 移动 节点 的 绑 定 (binding) 。 离 开 归 属 网 络 
后 ， 移 动 节点 就 在 归属 网 络 上 注册 了 与 路 由 器 的 绑 定 ， 要 求 这 个 路 由 器 作 一 个 归属 代理 (home 
agent) 。 任 何 和 移动 节点 相通 信 的 其 他 节点 都 被 叫做 通信 节点 。 移 动 节点 通过 绑 定 更 新 来 通知 通 
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信和 节点 当前 的 位 置信 息 。 通 信 节 点 在 物理 缓存 中 存储 了 位 置信 息 。 绑 定 更 新 更 新 了 绑 定 缓存 中 
的 表 项 。 移 动 节点 和 通信 节点 间 的 包 可 以 通过 归属 代理 的 信道 传输 ， 也 可 以 在 移动 节点 的 当前 
位 置 的 通信 节点 存在 绑 定 时 直接 传输 。 

在 本 质 上 ， 绑 定 更 新 是 一 个 网 络 管理 任务 ， 但 是 可 以 被 任何 节点 执行 。 如 果 绑 定 更 新 不 能 被 
验证 ， 攻 击 者 就 可 能 通过 因特网 做 破坏 ， 包 括 有 线 的 因特网 。 毫 无 疑问 ， 如 果 任何 一 个 节点 都 可 
以 参与 ( 涉 人 ) 网 络 管理 ， 这 将 是 一 个 问题 。 出 于 这 个 安全 考虑 在 一 段 时 间 内 曾 使 移动 他 的 因 特 
网 工程 任务 组 (IETF) 的 工作 受挫 。 在 安全 绑 定 更 新 的 第 一 个 尝试 建议 使 用 IPsec。 这 个 建议 采用 
了 一 种 古老 的 办 法 来 解决 一 个 新 的 问题 ， 并 且 有 严重 的 缺陷 。 必 须 建 立 安全 联盟 ， 但 是 因特网 密 
钥 交 换 (IKE) 协议 是 一 个 不 适合 用 在 移动 的 协议 。 在 nemne 还 没有 建立 全 球 公开 密 钥 体 系 
(PKI) 前 ， 必 须 建 立 移动 节点 和 通信 节点 间 的 信任 链 。 

因此 ， 为 了 证 实 拥 有 被 声明 是 实体 的 节点 在 其 声明 的 位 置 就 需要 专用 的 协议 。 移 动 IPv6 的 
安全 绑 定 更 新 协议 在 REC 3775 中 有 详细 说 明 ( 图 16-6)。 此 协议 背后 的 设计 论述 由 Aura, Roe 
and Arkko( 2002 ) 详 细 说 明 。 主 要 的 安全 目标 是 ; 移动 性 不 会 削弱 下 的 安全 性 ， 对 节点 的 保护 不 
牵涉 到 交换 ， 如 ， 在 固定 的 因特网 中 的 节点 。 这 个 协议 也 有 几 个 特征 来 对 付 拒 绝 服务 的 攻击 。 


归属 网 络 2a.HoT (K,, i) 通信 






3.BU: HoA, i, j, MAC (K,,, CoA || CN || BU) 


移动 信道 
图 16-6 移动 IPv6 的 绑 定 更 新 


在 这 个 协议 中 ， 移 动 节点 首先 发 送 两 个 初始 化 消息 给 通信 节点 (CN) ， 发 送 通过 本 地 网 络 的 
Home Test Init( HoTI) 消息 和 直接 发 给 通信 节点 的 Care- of Test Init( CoTI) 消息 进行 (步骤 la 和 
lb) 。 通 信 节 点 独立 回答 两 个 请 求 。Home Test( HoT) 消息 包含 一 个 64 比特 的 本 地 注册 令 牌 (local 
keygen token) K, 和 一 个 通过 移动 本 地 地 址 传送 到 移动 节点 的 归属 序列 号 索引 (步骤 2a) 。 包 含 一 
个 64 比特 的 care- of 注册 码 以 及 一 个 care- of 序列 号 索引 了 的 Care- of Test 会 被 直接 发 送 到 声称 的 
当前 位 置 (步骤 2b) 。 移 动 节点 使 用 这 两 个 注册 码 来 计算 绑 定 密 钥 : 

Kom: =SHAl1( 本 地 注册 令 牌 | 可疑 注 册 令 牌 ) 
以 及 被 96 比特 的 MAC 认证 的 绑 定 更 新 
HoA, i, j, HMAC_SHAI(K,,, CoA || CN || BU) 96 

这 个 协议 不 依赖 于 加 密 密 钥 的 保密 性 而 依赖 于 返回 的 可 路 由 性 。 通 信 节 点 核对 是 否 从 被 移 
动 节点 收 到 的 确认 。 风 险 模型 认为 ， 密 钥 K, 和 天 可 以 在 通道 上 明文 传输 。 这 些 密 钥 可 能 被 解释 
成 一 种 质询 (nonce) ， 这 个 质询 通过 把 绑 定 密 钥 Ku 把 实体 与 位 置 绑 定 起 来 。 在 通信 安全 方面 ， 
认证 这 个 术语 通常 指 某 类 实体 实体 标识 和 通信 模型 的 某 个 部 分 之 间 的 链 路 确认 ， 如 ， 一 条 消息 
或 一 段 会 话 (Gollmann，2003)。 在 这 种 理解 方式 下 ， 绑 定 更 新 协议 提供 了 位 置 认证 (location au- 
thentication) 。 对 于 窃听 通信 线路 ， 特 别 是 有 线 的 因特网 的 攻击 者 来 说 ， 这 个 协议 存在 漏洞 。 如 
果 考 虑 到 有 线 因 特 网 的 安全 ， 可 以 采用 开放 式 标 准 框架 来 保护 通信 节点 和 归属 代理 的 通信 。 

为 了 有 效 地 对 付 DoS 攻击 ， 在 协议 方面 通信 应 该 是 无 国界 的 。 这 就 是 说 ， 没 有 必要 记 住 密 
SAK, 和 KK,。 由 于 对 付 这 个 原因 ， 每 个 通信 节点 都 有 一 个 用 来 产生 送 到 移动 节点 的 秘密 节点 密 负 
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KK,,。 这 个 密 钥 不 必 为 其 他 实体 共享 。 每 个 通信 节点 在 相同 的 时 间 间 隔 都 会 产生 序列 号 。 随 机 数 
通过 索引 来 辨识 (图 16-6 中 的 索引 i 和 索引 j) 。 密 钥 从 MAC 地 址 的 最 初 64 位 中 取得 。 
K,: =HMAC _ SHAI(K,,, HoA || nonce[i] | 0), 
K,: = HMAC __ SHAI(K,,, CoA || nonce[j] | 1) 4, 
通信 节点 在 答复 后 即 可 丢弃 密 钥 K 和 KK,， 因 为 他 在 收 到 最 后 的 确认 之 后 能 重新 生成 密 钥 。 
因此 通信 节点 保持 的 这 个 状态 独立 于 他 收 到 的 BU 请 求 的 数目 。 平 衡 信息 流 是 对 抗拒 绝 服 务 攻击 
的 另 一 个 规定 。 可 以 使 用 采用 一 条 以 上 的 消息 来 回应 收 到 的 一 条 消息 的 协议 来 增强 拒绝 服务 攻 
击 。 因 此 ，BU 的 请 求 被 分 为 两 部 分 。 移 动 节 点 可 以 通过 一 条 消息 同时 传送 归属 地 址 和 转交 地 
址 ,但 是 接着 通信 实体 可 能 用 两 个 BU 的 认证 来 回应 一 个 BU 请 求 。 
经 验 教训 
在 通信 安全 中 ， 一 般 认 为 被 动 的 窃听 攻击 比 主动 的 攻击 更 容易 。 在 移动 系统 中 ， 则 相反 。 为 
了 能 够 在 一 个 特定 的 移动 节点 上 窃听 通信 ， 他 必须 在 附近 窃听 。 试 图 干扰 本 地 的 操作 则 可 以 在 
任何 地 方 发 起 。 


16.4.3 地址 所 有 权 


动态 分 配 地 址 的 方案 应 该 确认 一 个 新 的 地 址 是 空闲 的 。 这 可 以 通过 广播 一 个 消息 来 询问 是 
否 这 个 网 络 上 有 节点 使 用 了 这 个 地 址 。 在 岁 守 攻击 (squatting attack) 中 ， 攻 击 者 谎 称 他 拥有 应 该 
被 分 配 的 地 址 ， 因 此 就 阻止 了 受害 者 从 网 络 中 取得 分 配 地 址 。 

我 们 将 描述 一 个 方案 ， 即 一 个 节点 能 证 明 自 己 “ 拥 有 ”一 个 外 地址 的 方案 。 这 个 方案 有 一 个 
不 依赖 于 任何 第 三 方 的 鲜明 的 特点 ， 不管 它 是 归属 代理 还 是 证 书 权威 。 核 心思 想 是 地 址 所 有 者 
创造 了 一 个 公 钥 / 私 钥 对 ， 并 用 公 钥 的 蛤 希 值 作为 一 个 耻 v6 地 址 的 接口 。 

为 了 证 明 对 一 个 地 址 的 所 有 权 ， 声 明 应 该 用 密 钥 进行 加 密 。 并 将 其 与 公 钥 一 同 发 送 给 通信 
节点 。 通信 节点 将 核对 声明 上 的 签名 并 核对 公 钥 和 P 地 址 的 联系 。 地 址 是 用 公 钥 “验证 ”了 的 。 
公 钥 加 密 用 于 未 使 用 公 铀 基础 设施 (PKI) 。 

密码 生成 地 址 (Cryptographically Generated Address, CGA) 在 RFC 3972 中 已 详细 说 明 Aura 
(2003) 将 这 个 思想 用 于 IPv6 地 址 。 在 这 种 情况 下 ， 哈 希 值 的 长 度 可 能 被 限制 在 62 比特， 因为 接 
HID 中 有 2 比特 保留 位 。 为 了 对 一 个 给 定 的 地 址 伪造 申明 ， 攻 击 者 不 必 找 到 原来 的 密 钥 对 ， 而 
仅 需要 一 个 冲突 ， 即 含有 与 接口 D 相 冲 突 的 公 钥 的 密 钥 对 。 找 到 与 62 比特 哈 希 值 的 冲突 的 非常 
容易 ， 因 此 并 不 应 满足 于 此 ， 而 是 还 要 找 出 一 种 扩大 哈 希 冲突 值 的 方法 。 一 个 密码 生成 地 址 因此 
有 了 一 个 安全 参数 Sec(3 比特 的 无 符号 整数 ) ， 该 字段 被 编码 在 接口 D 的 最 左边 的 3 个 比特 位 。 
安全 参数 以 16 比特 的 增 量 来 增长 哈 希 值 。 公 铀 的 哈 希 值 Hashl 和 Hah? 可 如 下 计算 ， 

Hashl = SHA -1( 修 改 器 || 子 网 前 缀 || 冲突 计算 || 24H) 
Hash2 = SHA -1( 修 改 器 || 06 || 0, | 公 铀 ) 

Hash2 的 16 x Sec 的 最 左边 的 比特 必须 为 零 。Hashl 最 左边 的 64 比特 成 为 了 接口 DD, 除了 5 
位 固定 比特 外 ， 仅 59 比特 可 用 。 抵 制 冲突 攻击 与 查找 一 个 59 + 16 x Sec- 比特 的 冲突 的 工作 量 相 
当 。 为 了 得 到 一 个 符合 要 求 格 式 的 Hash2 的 值 ， 地 址 所 有 者 必须 通过 更 改修 改 器 做 强制 的 搜寻 ， 
而 这 是 一 个 随机 的 128 比特 的 数 。 这 个 寻找 的 工作 量 等 同 于 找到 一 个 有 16 x Sec- 比特 的 相当 与 一 
个 确定 值 ( 全 为 零 ) 相 等 的 哈 希 值 。 冲 突 计数 初始 化 为 零 ， 如 果 在 地 址 空间 发 生 冲 突 ， 冲突 计数 
就 会 增加 。 当 三 次 失败 后 就 会 发 送 一 个 错误 报告 。 

通信 节点 的 工作 量 是 恒定 的 。 为 了 验证 地 址 和 公 钥 之 间 的 对 应 5 关系 ， 就 必须 计算 两 个 哈 希 
函数 。 为 了 验证 一 个 签名 ， 就 必须 要 验证 一 个 签名 ， 当 然 ， 在 拒绝 服务 攻击 中 这 可 能 又 是 一 个 难 
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点 ， 因 为 签名 认证 是 一 个 代价 高 昂 的 操作 。 密 码 生 成 地 址 不 能 阻止 攻击 者 根据 自己 的 公 钥 和 任 
何 子 网 前 缀 中 伪造 地 址 。 因 此 ， 密 码 生 成 地 址 不 能 阻止 到 炸 攻击 。 为 了 防御 这 种 攻击 ， 就 要 运行 
一 个 可 返回 路 由 测试 来 核实 接收 者 是 否 愿 意 接受 传输 。 


16.5 无 线 局 域 网 


无 线 局 域 网 ( WLAN) 是 用 在 无 线 的 局 域 网 的 一 项 技术 ， 该 技术 的 详细 说 明 参 见 IEEE 802. 11 
标准 系列 。 在 这 个 应 用 中 的 安全 质询 不 是 移动 的 主要 顺序 而 是 无 线 网 络 访问 的 主要 顺序 。 又 ， 在 
空中 传播 的 数据 的 完整 性 和 机 密 性 应 该 得 到 保障 。 应 该 选择 合适 的 密码 算法 并 定义 密 钥 管理 过 
程 。 而且， 必须 控制 对 归属 网 络 和 移动 设备 的 访问 。 一 个 未 受 保护 的 无 线 广域网 可 能 给 攻击 者 使 
用 由 网 络 所 有 者 付费 的 带宽 服务 以 可 乘 之 机 ， 或 把 受害 者 的 系统 作为 一 个 攻击 第 三 方 的 中 间 站 。 

无 线 局 域 网 可 以 在 基础 设施 模式 和 自 组 织 模式 中 运行 。 在 基础 设施 模式 中 ， 移 动 终端 通过 
接 入 点 与 归属 网 络 连接 。 在 自 组 织 模式 中 ， 移 动 终端 直接 通信 。 本 节 的 安全 讨论 将 集中 关注 基础 
设施 模式 和 接 人 点 的 访问 控制 选择 。 每 个 接 人 点 都 有 一 个 服务 集 标识 (SSID ) 。 一 个 开放 的 无 线 
局 域 网 对 谁 可 以 与 接 人 点 进行 连接 没有 限制 的 。 一 个 开放 的 无 线 局 域 网 不 必 是 无 保护 的 ， 应 该 
在 其 他 协议 层 提供 安全 机 制 。 公 共 接 入 点 被 作为 热点 。 

为 了 控制 对 无 线 局 域 网 的 访问 ， 接 入 点 应 配置 为 : 不 能 广播 它们 的 服务 集 标识 ， 而 要 求 客户 
知道 它们 要 连接 的 访问 节点 的 服务 集 标识 符 。 服 务 集 标识 是 取得 访问 的 必须 的 秘密 。 这 种 方法 
运转 得 不 是 很 好 。 服 务 集 标识 包含 在 许多 发 送信 息 中 ， 这 些 信息 可 能 被 攻击 者 破译 ， 所 以 它 不 该 
当 作 秘 密 。 此 外 ， 对 不 同 的 访问 接点 通过 被 运行 商 设置 的 缺 省 的 服务 集 标识 符 来 进行 区 分 。 攻 击 
者 常会 抱 着 这 些 缺 省 的 值 一 直 没 有 被 改变 的 心态 而 进行 尝试 接 人 ， 而 且 这 样 做 常常 是 有 效 的 。 
另外 ， 更 有 可 能 去 通过 对 访问 接点 的 配置 ， 只 允许 那些 MAC 地 址 为 某 些 规 定 值 的 移动 终端 接 人 
网 络 。 这 种 基于 地 址 的 认证 方式 并 不 是 非常 安全 。 攻 击 者 可 能 通过 监听 合法 设备 的 连接 来 得 到 
合法 的 MAC 地 址 ， 接 着 就 用 一 个 伪造 的 MAC 地 址 进行 连接 。 

总 的 说 来 ， 把 访问 控制 建立 在 网 络 连接 管理 所 需要 的 信息 基础 上 是 有 问题 的 ， 如 ，SSID 和 
MAC 地 址 。 通 常情 况 下 ， 当 要 建立 一 个 连接 时 ， 这 些 信 息 就 必须 在 安全 机 制 被 起 用 之 前 被 传送 。 
所 以 ， 让 客户 发 起 一 个 对 访问 接点 的 连接 并 在 授权 对 保护 服务 进行 访问 之 前 对 客户 进行 认证 是 一 个 
更 可 靠 的 策略 。 图 16-7 所 示 的 通用 访问 机 制 表 明了 这 个 方法 。 客 户 被 默认 为 是 安装 了 web 浏览 器 。 
连接 到 访问 接点 的 客户 可 以 从 DHCP 服务 器 处 得 到 一 个 动态 的 四 地址 。 当 客户 的 web 浏览 器 启动 
时 ， 初 次 的 DNS 或 HITP 请 求 被 中 断 ， 通 过 HTTP 会 话 将 客户 转 人 请 求 用 户 名 和 密码 的 页 面 。 访 问 
接点 控制 器 中 web 服务 器 将 输入 的 用 户 名 和 密码 提交 到 远程 用 户 拨号 认证 系统 (RADIUS ) 进行 认 
证 。 一 旦 客户 端 被 认证 ,访问 点 就 可 以 对 客户 端的 请 求 应 用 熟悉 的 基于 身份 的 访问 控制 。 对 客户 端 
和 访问 点 的 后 继 通 信 的 保护 是 一 个 独立 的 问题 。 对 这 个 方案 提供 的 安全 性 的 分 析 留 作 练习 。 


UAM 





图 16-7 使 用 UMA #1 RADIUS 服务 器 的 热点 访问 


16.5.1 无 线 对 等 加 密 
在 IEEE 802. 11 中 详细 说 明 的 无 线 对 等 加 密 ( Wireless Equivalent Privacy, WEP) 协议 被 建议 
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用 来 保护 在 移动 终端 和 接 人 点 之 间 传 输 数据 的 机 密 性 和 完整 性 ， 并 用 来 认证 网 络 的 移动 终端 。 
认证 基于 一 个 共享 秘密 。 所 谓 的 预先 共享 式 秘密 被 手动 安装 在 将 要 访问 的 所 有 设备 上 ， 和 网 络 
中 的 所 有 接 人 点 上 。 这 种 方法 适合 于 像 归 属 网 络 这 样 小 的 安装 上 。 大 多 数 的 局 域 网 的 所 有 终端 
都 使 用 相同 的 密 钥 。 

无 线 对 等 加 密 采 用 流 密 钥 来 加 密 。 在 流 密 钥 中 ， 密 钥 不 能 被 重用 ， 因 为 被 相同 的 密 钥 加 密 的 
明文 的 异 或 与 两 个 明文 的 异 或 值 是 相同 的 。 两 个 明文 的 异 或 值 的 统计 特性 可 以 被 用 在 重建 两 个 
明文 的 加 密 分 析 ， 因 此 也 是 密 钥 流 。 因 此 ,一 个 24 比特 的 初始 化 数组 (Initialization Vector, IV) 
用 来 使 加 密 随机 化 。 发 送 者 和 接收 者 共享 一 个 40 比特 或 104 比特 的 密 钥 入 。 为 了 传输 一 个 消息 
m， 发 送 者 计算 出 一 个 32 比特 的 校 验 和 CRC -32(m) ， 用 24 比特 的 初始 化 向 量 和 产生 一 个 使 用 
流 密 钥 的 RC4 的 64 比特 的 密 钥 K'=IV |K EX. MEXE c 是 (m || CRC-32cm) 和 密 钥 流 的 位 
异 或 

c= (m || CRE-32 (m) )® RC4(K") 

密 文 和 初始 化 向 量 被 传输 给 接收 者 ， 接 收 者 计算 出 CRC4( 天 ' ) = (m || CRC-32(m) ) 和 核对 
校 验 和 。 为 了 认证 一 个 客户 ， 接 入 点 以 明文 的 方式 将 一 个 1024 比特 的 质询 发 给 客户 。 客 户 用 上 
面 的 算法 和 预先 共享 密 钥 来 加 密 口 令 ， 并且 接 入 点 认证 这 个 响应 。 

在 对 等 加 密 中 使 用 的 加 密 机 制 有 两 个 主要 的 设计 缺陷 。 首 先 ，CRC - 32 是 循环 元 余 检查 ， 
即 线形 函数 被 用 来 检测 随机 错误 但 是 不 能 防御 目标 的 修改 。 当 用 在 一 个 流 密 钥 的 线性 加 密 算 法 
( 异 或 ) 的 连接 ， 它 不 提供 任何 真正 的 完整 性 保护 。 仅 拥有 无 线 对 等 加 密 密 文 但 是 既 没 有 密 钥 K 
或 明文 m 的 攻击 者 能 够 像 如 下 修改 明文 。 令 A 是 明文 的 想 要 的 改动 。 攻 击 者 计算 8S = CRC - 32 
(A) 并 将 (Ai6) 加 入 密 文 ， 可 参照 下 式 得 到 一 个 明文 的 有 效 加 密 MOA: 

(m || CRC - 32(m) ) @RC4(K’) @(A || 5) = (m@A || CRC - 32(m) G5) 四 RC4( 天) 

= (m@A || CRC -32(mGA) ) @RC4(K’) 

第 二 个 问题 是 初始 化 矢量 的 大 小 。 只 要 密 钥 天 保持 无 变化 状态 ， 初 始 化 数组 便 是 密 钥 六 的 
唯一 可 变 部 分 仅 为 初始 化 矢量 TV。 攻击 者 就 可 以 观察 一 段 通信 量 ， 直 到 初始 化 数组 重复 ， 然 后 
尝试 重新 生成 流 密 钥 并 建立 初始 化 数组 表 和 通信 密 钥 流 。 

掌握 这 些 设计 缺陷 后 ,在 RC4 WEBERS T, Fluhrer, Mantin and Shamin 
(2001) 描述 过 寻找 密 钥 天 的 攻击 ， 并 且 这 种 攻击 从 那 以 后 都 已 经 改进 了 。 这 些 攻击 通过 一 位 一 
位 地 取得 密 钥 ， 因 此 一 个 104 比特 的 密 钥 并 非 比 40 比特 的 密 钥 更 难 破解 。 有 的 攻击 会 通过 重 放 
加 密 控制 信息 来 产生 更 多 的 流量 ， 以 致 他 们 可 以 取得 用 来 分 析 密 码 的 足够 数据 。 


16.5.2 WPA 


无 线 对 等 加 密 在 满足 它 的 安全 目标 方面 做 得 相当 失败 。WiFi 保护 接 人 (WPA) 被 用 作 一 个 快 
速 的 预 处 理 办 法 。 这 个 方法 可 用 来 消除 无 线 对 等 方案 的 主要 缺点 ， 而 不 需要 对 无 线 局 域 网 的 安 
全 体系 的 重 设计 。 无 线 应 用 协议 要 求 在 已 有 无 线 广域网 的 硬件 上 运行 。 其 中 也 有 对 访问 网 络 的 
客户 的 认证 以 及 动态 创建 临时 密 钥 进行 改进 的 程序 。 扩 展 认证 协议 (Extensible Authentication Pro- 
tocol ，EAP) 是 一 个 在 RFC 2284 中 详细 说 明 的 元 协议 ， 支 持 多 重 认证 方式 的 IEEE 802. 1X， 如 令 
牌 卡片 ，Kerberos， 一 次 性 口令 ,证 明和 公 钥 认证 。 

为 了 完整 性 保护 ，CRC - 32 被 叫做 Michael 的 信息 完整 性 检测 码 (message integrity code, 
MIC) 所 代替 。 初 始 化 向 量 的 长 度 是 原来 的 两 倍 ， 达 到 48 比特 。 临 时 密 钥 完整 性 协议 (Temporal 
Key Integrity Protocol, TKIP) 创建 了 密 钥 体系 系列 。 客 户 端 和 访问 点 需要 长 的 成 对 主 密 钥 。 新 的 
成 对 临时 密 钥 (Pairwise Transient Key，PTK ) 来 源 于 主 密 钥 ， 并 被 用 来 保护 移动 终端 和 接 人 点 的 
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通信 。 当 WPA 是 使 用 预先 共享 主 密 钥 配置 (WPA- PSK) BY, PMK 就 可 以 用 密 钥 生成 函数 PBK- 
DF2( RFC 2898 ) 进行 如 下 计算 : 
PMK = PBKDF2( passphrase, SSID, SSID length, 4096, 256) 

输入 包括 一 个 密码 (推荐 用 20 个 字符 )、 接 入 点 的 服务 集 标志 和 服务 集 标 识 的 长 度 。 这 个 输 
人 险 希 4096 次 后 就 返回 一 个 256 比特 的 密 钥 。 计 算 PTK 的 算法 采用 成 对 主 密 钥 (PMK) ， 两 个 设 
备 的 MAC 地址 ， 以 及 输入 时 两 个 设备 产生 的 nonce, nonce 以 明文 方式 传输 。 

WPA-PSK 对 于 猜 密码 的 攻击 来 说 是 脆弱 的 。 当 受害 者 和 无 线 广域网 联系 的 时 候 ， 攻 击 者 会 
记录 下 交换 的 信息 。 接 着 ,攻击 者 就 猜 密码 ， 并 为 猜 出 的 密码 ， 已 知 的 SSID 的 值 和 SSID 的 长 
BE, JA PITK' 到 PMK' 的 临时 密 钥 ， 被 截获 的 MAC 地 址 ， 和 随机 数 计算 一 个 主 密 钥 PMK’。 已 经 
被 记录 的 加 密 消息 用 侯 选 密 钥 PTK' 解 密 。 如 果 结 果 是 有 意义 的 明文 ， 那 猜 出 的 密码 就 很 有 可 能 
是 正确 的 。 

由 于 这 些 设计 上 的 缺陷 ，WPA 的 安全 机 制 就 可 能 没有 预想 的 加 密 观 点 那样 强大 ， 但 是 WPA 
在 WEP 方向 上 仍然 有 一 定 的 改进 。 


16.5.3 IEEE 802. 11i -WPA2 


在 2004 年 ，IEEE 802. 11i 系列 标准 详细 说 明了 无 线 局 域 网 安全 机 制 的 全 新 设计 。 这 个 标准 
就 是 著名 的 WPA2。 在 CCMB 模型 中 ， 流 加 密 器 RC4 已 经 被 AES 所 取代 ， 如 反击 模型 中 的 
CBC- MAC 模式 的 计数 器 模式 。WPA2 要 求 新 的 硬件 。 


16.6 蓝牙 


蓝牙 是 无 线 自 组 织 网 络 的 一 种 技术 ， 最 初 是 被 用 在 个 人 设备 如 PC、 键 盘 、 和 鼠标、 打印 机 、 
耳机 和 其 他 外 围 设备 的 短 距离 的 通信 (最 高 可 达 10 米 )， 形成 了 个 人 局 域 网 ( Personal Area Net- 
work) 。 该 本 地 自 组 织 网 络 不 要 求 复杂 的 密 钥 管理 基础 设施 。 两 个 设备 之 间 的 安全 联系 通过 配对 
手工 确立 ， 如 用 户 在 两 个 设备 上 键入 一 个 公用 PIN 码 。 

为 了 对 两 个 设备 之 间 的 通信 进行 加 密 保护 ， 可 由 PIN 码 生 成 128 比特 的 连接 密 钥 。 连 接 密 钥 被 
用 在 两 个 设备 之 间 的 后 期 的 认证 中 。 认 证 由 质询 - 应 答 协 议 执行 ， 与 GSM 认证 相似 。 用 来 加 密 消 
息 的 临时 通信 密 钥 由 共享 的 PIN 码 、PIN 码 的 长 度 ， 以 及 发 送 者 产生 的 随机 值 和 接受 者 的 地 址 生 
成 。 设 备 认证 是 访问 控制 的 基础 。 访 问 控 制 客体 是 在 设备 上 提供 的 服务 (拨号 、 文 件 传输 等 ) 。 

蓝牙 (Bluetooth ) 安全 体系 是 为 个 人 局 域 网 设计 的 。 由 于 蓝牙 的 应 用 和 蓝牙 技术 本 身 在 不 断 
变化 ， 扩 大 了 通信 的 范围 ， 因 此 还 需要 研究 新 的 安全 体系 。 针 对 蓝牙 的 应 用 ， 我 们 必须 考虑 那些 
利用 设备 的 软件 配置 所 暴露 的 弱点 而 进行 的 应 用 级 攻击 。 像 Bluesnarf 这 种 攻击 可 以 从 那些 在 访 
问 控制 的 实现 上 存在 缺陷 的 设备 上 获取 个 人 数据 。 当 蓝牙 设备 被 用 来 广播 某 些 被 请 求 的 标识 时 ， 
就 需要 建立 用 户 的 漫游 控制 。 
16.7 深层 阅读 

本 章 主要 描述 了 移动 和 无 线 技术 ， 主 要 和 集中 在 各 种 大 家 感 兴趣 的 安全 问题 。 本 章 没 有 介绍 
的 与 实际 相关 的 有 趣 的 安全 问题 多 与 个 人 技术 特定 方面 相关 。Niemi and Nyberg (2003) 给 出 了 关 
于 GSM 和 UMTS 的 详细 描述 。GSM 标准 由 ETSI 管理 (http://www. etsi. org), UMTS 规范 由 
3GPP (http://www. 3gpp. org). TCP/IP 网 络 中 的 移动 问题 将 在 各 种 ETF 工作 组 中 讨论 。 
这 些 讨论 的 当前 状况 可 以 在 各 自 的 IETF 的 站 点 找到 (http://www. ietf org ) 。 无 线 广域网 安全 的 
详细 说 明 参 见 IEE 802. 11。 蓝 牙 成 员 的 官方 站 点 是 (http://www. bluetooth. org) 。 
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16.8 练习 


练习 16. 1 电话 服务 提供 商 必须 要 处 理 客户 的 抱怨 ， 这 些 客户 称 没有 打 过 一 些 似 乎 从 他 们 
的 手机 打出 的 兑奖 电话 。 可 以 提出 什么 样 的 措施 来 解决 这 样 的 问题 呢 。 

练习 16. 2 ” 试 讨论 一 下 对 具有 国际 漫游 移动 系统 中 的 窃听 被 批准 后 所 引发 的 问题 。 

练习 16. 3 假如 一 个 128 比特 的 MAC 地 址 被 用 在 信道 错误 率 为 1:1000 的 消息 认证 。 当 消 
息 长 度 分 别 为 1K 比特 ，2K 比特 和 3K 比特 时 ， 由 于 传输 错误 而 否认 一 个 消息 的 可 能 性 是 多 少 ? 
当 比特 的 错误 率 达 到 1:100 的 时 候 可 能 性 又 是 多 少 ? 在 这 两 种 错误 率 下 ， 分 别 使 用 32 比特 的 
MAC 时 ， 可 能 性 又 是 多 少 ? 

练习 16.4 在 传输 层 已 经 建立 了 一 个 会 话 的 节点 在 会 话 期 间 改 变 了 他 们 的 卫 地 址 。 在 这 样 
一 种 情况 下 ， 会 话 怎样 在 传输 层 被 保护 。 对 这 个 解决 方案 中 提 到 的 那些 具有 普遍 性 的 安全 问题 
进行 分 析 ， 并 对 IETF 中 当前 正在 被 讨论 的 建议 进行 分 析 。 

练习 16.5 设 哈 希 值 的 计算 时 间 为 1 毫秒 ， 相 对 于 攻击 者 在 值 Sec =1，2，3 时 所 付出 的 努 
力 而 言 ， 地 址 所 有 者 创建 一 个 有 效 的 CGA 需要 付出 怎样 的 代价 ? 

练习 16.6 试 考虑 有 这 样 一 个 繁忙 的 接 入 节点 ， 该 节点 以 11Mbit/s 的 IEEE 802. 11b 的 数据 
率 ， 发 送 1500 字 节 的 包 。 攻 击 者 必须 要 花 多 长 时 间 等 待 初始 化 向 量 开始 重复 ? 如 果 初 始 化 向 量 
是 随机 产生 的 ， 那么 攻击 者 为 第 一 次 冲突 等 待 的 平均 时 间 是 多 长 (两 个 包 用 相同 的 初始 化 向 量 加 
密 )? 

练习 16. 7 WEP 的 质询 -应 答 协议 用 明文 发 送 质疑 并 加 密 应 符 。 如 果 质 疑 被 加 密 应 答 以 明 
文 传送 ， 会 有 什么 不 同 ? 

练习 16.8 试 描述 一 个 这 样 的 攻击 ， 在 这 个 攻击 中 ，WEP 加 密 的 WP 包 还 需要 被 发 送 到 攻 
击 者 指定 的 目的 地 。 

练习 16.9 给 出 一 个 被 UAM 和 采用 EAP(RFC 2284) 的 802. 1X 提供 的 安全 服务 之 间 的 
比较 。 





第 17 章 数据 库 安全 


一 个 数据 库 不 只 是 用 来 存储 数据 ， 它 还 给 用 户 提供 信息 。 因 此 数据 库 安 全 就 不 应 只 关注 如 
何 保护 敏感 的 数据 ， 它 也 应 研究 一 些 机 制 ， 让 使 用 者 在 可 控 的 范围 内 检索 资料 。 在 这 里 强调 了 两 
个 把 数据 库 的 安全 和 操作 系统 的 安全 区 分 开 来 的 主题 ， 我 们 对 信息 的 控制 访问 应 该 多 于 对 数据 
的 控制 访问 。 尽 管 对 数据 的 保护 仍然 是 一 个 重要 的 问题 ， 但 是 我 们 一 定 要 把 重点 放 在 控制 主体 
请 求 访问 上 。 

目标 

。 分 析 数 据 库 系统 所 特有 的 安全 问题 。 

。 理解 怎样 把 各 种 观点 用 在 关系 数据 库 的 访问 控制 之 中 。 

。 分 析 在 统计 数据 库 中 保护 信息 安全 的 问题 。 

© 检查 在 数据 库 管理 系统 中 和 在 隐藏 着 的 操作 系统 中 安全 机 制 之 间 潜 在 相互 作用 。 


17.1 引言 


数据 库 是 数据 以 某 种 有 意义 的 方式 排列 的 集合 。 数 据 库 管理 系统 (DBMS ) 把 数据 组 织 起 来 并 
且 给 用 户 提供 检索 信息 的 方式 。 如 果 对 信息 的 访问 控制 完全 失控 的 话 ， 那 么 用 户 就 很 可 能 不 会 
(可 能 是 被 迫 ) 把 某 种 数据 放 进 数 据 库 中 。 从 而 数据 库 提供 的 有 用 的 服务 就 会 变 少 。 比 如 : 数据 
库 常常 会 存储 一 些 私人 的 信息 ， 如 公司 中 员工 的 记录 ， 学 校 中 学 生 的 记录 ， 以 及 税务 部 门 的 税收 
记录 。 因 此 ， 从 很 早 以 前 起 ， 数 据 库 的 安全 就 在 计算 机 的 安全 中 占据 相当 重要 的 作用 。 数 据 库 的 
安全 有 着 特殊 的 地 位 ， 因 为 它 不 同 于 操作 系统 的 安全 ， 下 面 将 给 出 这 些 说 法 的 具体 说 明 。 

操作 系统 管理 数据 。 用 户 可 以 调用 操作 系统 的 函数 来 创建 文件 ， 删 除 文件 ， 或 是 打开 文件 进 
行 读 和 写 的 访问 。 这 些 操作 中 没有 一 个 考虑 到 了 文件 的 内 容 。 更 恰当 地 说 ， 类 似 的 访问 控制 的 决 
定 是 由 操作 系统 决定 的 。 这 些 决 定 依赖 于 对 用 户 的 识别 ， 文 件 属性 的 定义 ， 访 问 控制 列表 ， 安 全 
标签 等 ， 但 是 并 不 依赖 于 文件 的 内 容 。 这 样 做 的 起 因 并 不 是 在 于 一 些 基 本 的 安全 理论 ， 而 仅仅 是 
一 种 合理 的 工程 考虑 。 

数据 库 中 的 表 项 携带 有 信息 ， 数 据 库 的 用 户 执行 的 是 与 数据 库 中 表 项 内 容 相关 的 操作 。 数 
据 库 中 最 典型 的 作用 就 是 数据 库 的 检索 功能 。 因 此 ， 数 据 管理 系统 在 考虑 到 数据 库 表 项 的 具体 
内 容 后 做 出 访问 控制 决定 。 这 样 做 比较 合理 。 一 个 很 常用 的 例子 就 是 工资 数据 库 。 在 该 数据 库 
中 ， 达 到 一 定 上 限 的 工资 是 要 保密 的 。 总 而 言 之 ,在 人 -机 标尺 之 中 ,数据库 的 安全 是 更 偏重 于 
用 户 这 端 ( 见 图 17-1)。 


对 用 户 . 对 数据 
的 特定 的 通用 
的 复杂 的 关注 的 简单 的 关注 
Oo— O 
面向 人 面向 机 器 


图 17-1 数据 库 的 安全 在 人 - 机 标尺 上 的 位 置 
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粗 看 起 来 ， 保 护 数据 库 中 的 敏感 信息 似乎 很 容易 ， 在 工资 数据 库 中 ， 你 可 能 会 在 查询 语句 中 
过 加 一些 检索 工资 的 条 钢 ， 如 果 你 知道 要 保护 的 是 针 些 数据 ， 这 种 刀 法 当然 是 订 行 的 ”但 是 
入 侵 者 可 能 会 对 许多 不 同 的 信息 片断 感 兴趣 。 下 面 是 一 些 可 能 的 信息 源 。 
。 精确 的 数据 : 存储 在 数据 库 中 的 数值 。 
。 边界 : 数值 (如 工资 ) 的 下 界 和 上 界 可 能 已 经 是 有 用 的 信息 。 
o 消极 结果 : 例如 ， 如 果 一 个 数据 库 包 含 了 许多 刑事 犯罪 的 信息 ， 那 么 这 种 涉及 某 一 特定 人 
物 犯罪 的 信息 就 是 很 敏感 的 信息 。 
o 存在 性 : 数据 的 存在 性 本 身 就 可 能 是 敏感 的 信息 。 
。 可 能 值 : 能 够 从 其 他 的 查询 结果 中 猜测 出 某 种 信息 。 
最 后 ， 你 不 得 不 要 防止 一 些 意外 事件 发 生 。 如 有 果 数 据 库 允 许 统计 查询 的 话 ， 那 么 保护 信息 就 
会 变 得 困难 起 来 。 例 如 ， 一 次 统计 查询 就 会 返回 所 有 工资 的 总 额 ， 或 是 所 有 工资 的 平均 值 。 像 这 
种 查询 的 巧妙 结合 反而 可 能 会 暴露 你 想 保护 的 信息 。 这 个 话题 可 将 在 17.4 节 里 面 深 入 讨论 。 
你 可 能 被 警告 过 许多 次 了 : 有 许多 途径 可 以 使 敏感 信息 从 你 的 数据 库 中 泄漏 出 去 。 当 然 ， 你 
应 该 对 安全 性 有 足够 的 重视 。 而 且 也 不 要 忽视 了 你 的 数据 库 要 为 某 种 有 用 的 目的 提供 服务 。 如 
果 你 采取 太 严格 的 政策 ， 即 使 敏感 的 信息 不 会 被 暴露 ， 而 不 提供 对 数据 的 访问 ， 那 么 你 也 会 减少 
数据 库 的 价值 。 你 因此 不 得 不 尽量 做 到 精确 ， 在 暴露 那些 不 重要 得 信息 的 同时 ， 保 护 好 那些 敏感 
的 信息 。 
数据 库 的 表 项 携带 了 实体 外 部 到 计算 机 系统 的 信息 。 如 ， 在 库房 中 的 库存 ， 学 生 的 考试 结 
果 ， 银 行 账户 的 收 支 ， 和 飞机 舱 里 面 可 用 的 座位 数 。 数 据 库 的 表 项 应 该 非常 准确 地 反映 客观 事 
件 。 数 据 库 的 安全 结合 了 特定 应 用 程序 的 整体 性 保护 来 达到 。 
© 内 部 一 致 性 (intemal consistency): 数据 库 中 的 表 项 应 该 遵循 一 些 事先 约定 好 的 规则 。 例 
如 : 库存 量 不 能 低 于 零 。 
。 外 部 一 致 性 (external consistency): 数据 库 中 的 表 项 应 该 完全 正确 。 比 如 ， 在 数据 库 中 的 
库存 量 应 该 与 实际 的 库存 量 保持 一 致 。 当 你 在 更 新 数据 库 的 数据 的 时 候 ， 数 据 库 管理 系统 


能 够 帮助 你 避免 一 些 错误 ， 但 是 你 也 不 能 完全 指望 单 靠 它 来 
| 


保持 数据 库 的 一 致 性 状态 (consistent state) 。 这 种 属性 也 称 
为 精确 性 (accuracy ) o 
在 第 2.4 节 中 的 分 层 模 型 中 ， 数 据 库 管理 系统 被 放 在 了 操作 系 


统 顶部 服务 层 上 。 数 据 库 管理 系统 必须 满足 特定 的 数据 库 安全 需 
图 17-2 数据 库 安全 的 位 置 









求 ， 这 种 需求 是 操作 系统 所 不 能 应 付 处 理 的 。 数 据 库 管 理 系统 可 以 
结合 操作 系统 之 内 的 一 些 机 制 来 强制 保证 安全 性 ， 而 如 果 在 操作 系 
统 之 内 没有 恰当 的 控制 方法 ， 或 是 自己 牵涉 进入 操作 系统 后 变 得 很 
麻烦 的 时 候 ， 数 据 库 管理 系统 就 会 自己 独立 地 强行 保持 安全 性 。 而 
且 ， 数 据 库 管 理 系统 可 以 在 应 用 层 中 ， 作 为 一 个 定义 安全 控制 的 工 
具 。 图 17-2 说 明了 这 样 的 事实 : 数据 库 的 安全 包括 了 各 个 不 同 的 抽 
象 层 的 安全 机 制 。 


17.2 关系 数据 库 


在 构成 数据 库 的 各 种 模型 中 ， 当 今 使 用 最 为 广泛 的 是 关系 数据 库 。 再 次 地 ， 我 们 认为 读者 对 
关系 数据 库 中 基本 的 概念 已 经 比较 熟悉 了 ， 所 以 就 只 给 出 关系 数据 库 的 简单 介绍 。 详 细 的 介绍 
可 以 参考 Date( 1990) 。 
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关系 数据 库 用户 会 把 关系 数据 库 看 成 是 各 种 表 ( 只 有 表 ) 集 合 的 一 种 数据 库 。 

这 种 定义 指 的 是 用 户 对 关系 数据 库 的 一 种 感知 ， 而 不 是 数据 库 实际 的 物理 组 织 方式 。 这 也 
恰好 成 为 我 们 讨论 数据 库 安 全 恰当 的 抽象 层 基础 。 

形式 上 ， 关 系 尺 是 Di x… xD WFR. MHD, ，…， 刀 , 是 个 属性 中 的 域 ,关系 中 的 
元 素 是 nn 元 组 (v1,，…，v,)， 其 中 ve D;， 比 如 第 ;个 属性 就 是 来 自 元 素 D;。 元 组 中 的 元 素 通 常 
称 为 字段 。 当 一 个 字段 未 包含 任何 值 的 时 候 ， 就 用 一 个 特殊 的 空 值 来 表示 。 空 值 的 意义 是 没有 任 
何 输入 ， 而 不 是 “该 项 为 未 知 ”。 

在 图 17-3 中 的 关系 可 能 是 一 个 旅行 社 数据 库 的 一 部 分 。 关 系 Diary 有 四 个 属性 ,分 别 是 
name ，day , flight ，status ， 各 个 域 的 范围 如 下 。 

ename: 所 有 的 有 效用 户 名 。 

e day; 一 周 中 所 有 天 数 , 如 : Mon, Tue, Wed, Thu, Fri, Sat, Sun, 

e flight: 航班 号 ， 两 个 字符 后 面 加 上 1 ~4 个 数字 。 

e status: 公务 (business) 和 私人 (private ) 。 





Flight Status Flight Destination 


GR123 Private GR123 1-4 - 


YLO11 business YLO11 12345-7 
BX201 BX201 : 1-3-5- 
BX201 business FL9700 








FL9700 | business GR127 








图 17-3 Diary 和 Flight 的 关系 


在 关系 数据 库 中 用 来 描述 信息 查询 和 更 新 方式 的 标准 语言 称 为 结构 化 查询 语言 (SQL) ( jarer 
national Organisation for Standardization, 1992), SQL 语言 包括 以 下 一 些 操作 。 
e SELECT: 从 一 个 关系 中 查询 数据 ， 


SELECT Name , Status 
FROM Diary 
WHERE Day = 'Mon' 


返回 的 结果 : 


Alice | private 






Bob |business 


se。 UPDATE: 更 新 关系 中 的 字段 ， 


UPDATE Diary 
SET Status =private 
WHERE Day = 'Sun' 


把 星期 日 的 所 有 旅行 团 标 记 为 私人 旅行 团 。 
e DELETE: 从 一 个 关系 中 删除 元 组 


DELETE FROM Diary 
WHERE Name = 'Alice' 


从 Diary 中 删除 Alice 所 有 的 旅行 。 
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e INSERT; 将 元 组 插 人 到 一 个 关系 中 ， 


INSERT INTO Flights(Flight, Destination, Days) 
VALUES( 'GROOS', 'GOH', '12-45-') 


在 关系 Fligths 中 插入 一 个 元 组 ， 而 字段 Departs 域 仍 然 没 有 给 出 。 

在 所 有 的 情况 下 ， 都 有 可 能 出 现 更 复杂 的 情况 。 编 写 这 本 书 的 目的 并 不 是 用 来 解释 SQL 的 
复杂 性 的 ， 在 此 ， 我 们 仅 给 出 一 个 例子 予以 证 明 其 复杂 性 。 要 找到 谁 要 去 Thule ， 就 要 执行 下 列 
语句 : 

SELECT Name 

FROM Diary 
WHERE Flight IN 
( SELECT Flight 
FROM Fiights 
WHERE Destination ='THU') 


关系 常常 用 表 来 表示 。 属 性 对 应 的 是 表 中 的 列 ， 用 的 是 属性 的 名 字 作为 列 的 表 头 。 在 表 中 的 
一 行 对 应 的 是 数据 库 中 的 一 个 元 组 (记录 ) 。 在 关系 模型 中 ， 关 系 并 没 又 包含 指向 其 他 表 的 连接 
和 指针 。 表 (关系 ) 回 的 关系 只 能 用 另 一 关系 来 表示 。 在 关系 数据 库 中 可 能 存在 着 不 同 种 类 的 关 
A, MF. 

。 基本 关系 : 也 称 为 实际 关系 (real relation) ， 它 们 被 命名 为 自主 的 关系 。 它 们 独立 存在 ， 而 

不 是 派生 于 其 他 关系 ， 并 且 它 们 拥有 自己 存储 的 数据 。 
。 视 图: 被 称 为 导出 关系 。 它 们 由 其 他 已 命名 的 关系 定义 ; 它们 自身 并 不 存储 数据 。 
。 快照 像 视图 一 样 ， 它 们 也 被 称 为 导出 关系 ， 也 是 根据 已 经 命名 的 好 的 其 他 关系 定义 出 来 
的 ， 但 是 它们 拥有 自己 独立 的 存储 的 数据 。 
。 查询 结果 : 一 个 查询 的 结果 ， 它 们 可 能 有 也 可 能 没有 名 字 ， 它 们 并 不 是 常 驻 留 在 数据 库 
中 的 。 
例如 : ER Diary 中 查询 谁 以 及 何 时 旅行 的 快照 查询 操作 如 下 ， 


CREATE SNAPSHOT Travellers 
AS SELECT name , day 
FROM Diary 


17.2.1 数据 库 的 关键 字 


在 每 一 个 关系 中 ， 我 们 必须 用 一 种 特殊 的 方式 识别 出 所 有 的 元 组 。 有 了 时， 单独 的 属性 就 能 够 
作为 这 样 的 一 个 标识 。 也 有 可 能 在 能 满足 这 种 目的 的 多 个 属性 中 作 选 择 。 而 另 一 方面 ， 也 有 可 能 
要 用 多 个 属性 组 合 起 来 才能 构造 出 唯一 标识 来 。 


主键 是 指 一 个 关系 中 唯一 的 并 且 是 最 小 的 标识 。 关 系 尺 中 的 主键 必须 满足 下 面 的 条 件 。 

。 唯一 性 ; 在 任何 时 候 ， 关 系 尺 的 两 个 元 组 都 没有 相同 的 天 值 。 

。 最 小 性 : 如 果 天 是 组 合 型 的 ， 那 么 要 满足 唯一 性 的 前 提 ，KK 中 的 每 个 成 员 都 不 能 少 。 

在 关系 Diary H, name 和 day 的 组 合 就 可 以 看 成 是 主 关键 字 ( 假 定 对 顾客 而 言 ， 每 天 只 能 跟 
一 个 旅行 舍 出 团 ) 。 在 关系 Flight H, EHE flight number, 

每 个 关系 必须 有 一 个 主键 。 因 为 没有 一 个 关系 会 包含 两 个 完全 相同 的 元 组 。 这 是 直接 来 自 
于 我 们 对 关系 的 定义 的 。 当 一 个 关系 中 的 主 关键 字 在 另 一 个 关系 中 作为 属性 出 现时 ， 那 么 该 属 
性 就 称 为 外 键 。 在 这 个 例子 中 ， 关 系 Plight 中 的 主 关键 字 flight number 就 是 关系 Diray 的 一 个 
外 键 。 
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17.2.2 完整 性 规则 


在 关系 数据 库 中 ， 可 以 通过 定义 完整 性 规则 来 强制 保证 内 部 一 致 性 ， 而 且 可 以 帮助 维护 外 
部 一 致 性 (精确 性 ) 。 这 些 规则 中 的 绝 大 部 分 都 是 只 针对 应 用 程序 而 言 的 ， 但 是 也 有 两 条 规则 是 
关系 数据 库 所 固有 的 。 


实体 完整 性 规则 基本 关系 的 主键 值 中 ， 不 允许 主键 的 一 个 属性 或 是 主键 的 一 个 子 集 

是 空 值 。 

这 条 规则 允许 我 们 找到 基本 关系 中 的 所 有 元 组 。 在 基本 关系 中 的 这 些 元 组 与 现实 中 的 实体 
是 相互 对 应 的 ， 并 且 我 们 不 会 在 一 个 数据 库 中 建立 一 个 不 能 识别 出 来 的 元 组 。 


引用 完整 性 规则 ”数据库 中 不 得 包括 不 匹配 的 外 键 字 值 。 


一 个 外 键 值 声 明了 一 个 对 其 他 某 个 表 的 表 项 的 引用 (reference)， 一 个 不 匹配 的 外 键 值 是 一 个 
在 引用 表 中 不 作为 主键 出 现 的 值 。 它 是 一 个 对 不 存在 的 元 组 的 引用 。 

除了 这 两 条 规则 外 ， 我 们 还 需要 更 多 的 特定 应 用 的 完整 性 规则 。 这 些 完整 性 规则 很 重要 ， 因 
为 它们 能 保证 数据 库 处 于 可 用 的 状态 下 。 很 典型 地 ， 你 会 用 这 些 完 整 性 规则 来 做 下 面 的 事情 。 

。 字段 检查 : 防止 错误 的 数据 输入 。 在 我 们 的 例子 中 ， 我 们 通过 一 条 规则 ， 检 查 输入 的 值 是 

business 还 是 private 来 防止 用 户 随意 将 值 输入 到 Diary 关系 的 status 属性 中 。 

。 范围 检查 : 在 统计 数据 库 中 ， 可 能 需要 一 些 规则 ， 来 检查 查询 的 结果 是 否 由 足够 的 例子 计 

算出 来 。 请 先 看 看 图 17-4 中 的 Students 关系 。 你 可 能 会 定义 一 条 规则 ， 在 样本 不 超过 三 
个 的 情况 下 ， 就 返回 平均 成 绩 的 默认 值 67。 

e 一 致 性 检查 : 不 同 关系 中 的 表 项 可 能 指 的 是 外 部 世界 中 的 相同 的 方面 ， 因 此 也 应 该 在 这 
个 方面 表示 出 一 致 性 。 在 我 们 的 例子 中 ， 我 们 能 够 检查 出 旅客 出 行 的 日 期 是 否 与 它们 的 航 
班 起 飞 的 日 期 保持 一 致 。Alice 的 乘坐 的 是 周一 的 GR123 航班 ， 就 应 该 与 该 航班 在 周一 和 
周 四 起 飞 保 持 一 致 。 而 Carl 预定 的 是 周二 的 BX201 航班 ， 就 与 该 航班 在 周一 ， 周 三 ， 周 
五 起 飞 的 事实 不 相 一 致 。 一 条 像 这 样 的 比较 各 自 的 域 的 完整 性 规则 ， 就 可 以 防止 旅行 社 发 
生 这 样 的 错误 。 

像 这 样 的 完整 性 规则 由 应 用 层 控制 。 数 据 库 管理 系统 为 指定 和 强化 这 些 规则 提供 了 基础 。 
比如 ， 完 整 性 触发 器 (integrity trigger) 就 是 一 个 用 来 附带 在 数据 库 中 的 某 个 对 象 上 ， 检 查 该 对 象 
的 完整 性 属性 的 程序 。 当 有 一 个 更 新 (UPDATE) 、 播 入 (INSERT) 或 是 删除 (DELETE) 操作 试图 
改变 该 对 象 的 时 候 ， 这 个 程序 就 会 被 触发 ， 执 行 相应 的 检测 。 

在 指出 了 机 密 性 和 完整 性 之 间 潜 在 的 冲突 性 之 后 ， 我 们 将 不 对 该 话题 进行 更 深入 的 探讨 。 
当 评 佑 一 个 完整 性 规则 而 要 访问 敏感 的 信息 的 时 候 ， 你 可 能 面临 一 个 两 难 的 抉择 : 是 保护 敏感 
的 信息 而 不 完整 (不 正确 ) 地 评估 规则 ， 还 是 为 了 维护 数据 库 一 致 性 而 泄漏 一 些 敏感 信息 。 


17.3 访问 控制 


要 保护 敏感 信息 ， 数 据 库 管 理 系 统 就 不 得 不 控制 用 户 如 何 访问 数据 库 。 要 和 弄 清楚 这 些 控制 
怎样 实现 的 ， 你 就 应 该 考虑 分 两 个 层次 来 访问 数据 库 ， 这 两 个 层次 分 别 是 : 

。 基于 基本 关系 上 的 数据 处 理 操作 。 

。 复合 操作 ， 如 : 视图 或 快照 操作 。 

返回 到 2.4. 1 节 ， 你 就 可 以 从 两 个 角度 使 用 如 下 规则 来 看 待 访问 控制 : 

© 限制 用 户 可 用 的 操作 ; 
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。 为 每 个 独立 的 数据 项 定义 保护 需求 。 

在 数据 库 管理 系统 中 ， 对 复合 操作 的 控制 管理 着 用 户 如 何 使 用 数据 库 。 另 一 方面 ， 基 本 关系 
的 操作 检查 保护 数据 库 中 的 表 项 。 通 过 决定 你 想 要 的 控制 的 访问 操作 类 型 ， 你 也 影响 了 将 要 被 
执行 的 策略 的 重点 所 在 。 相 反 地 ， 策 略 的 重点 ， 也 瞳 示 出 要 控制 的 操作 类 型 。 不 管 你 作出 何 种 选 
择 ， 有 两 种 特性 是 要 力争 达到 的 。 

。 完 整 性 : 保护 数据 库 中 的 所 有 字段 。 

。 一 致 性 : 在 管理 访问 数据 项 时 ， 不 能 存在 相互 冲突 的 一 套 规则 。 

数据 库 中 不 应 该 存在 因为 访问 方式 不 同 而 导致 有 不 同 的 访问 控制 的 元 素 ， 这 样 的 策略 才 是 
安全 的 策略 。 不 应 该 避免 合法 的 访问 请 求 ， 同 时 也 不 应 该 有 可 以 绕 过 特定 访问 策略 的 方法 。 


17.3.1 SQL 安全 模型 


基本 的 SQL 安全 模型 应 该 遵循 相似 的 模式 。 它 根据 三 个 实体 来 实现 自由 访问 控制 。 

。 用 户 实 体 : 数据 库 的 用 户 。 在 登录 进程 中 ， 用 户 身份 要 得 到 认证 ， 数 据 库 管 理 系 统 执行 它 

自己 的 登录 进程 ， 或 是 接受 操作 系统 认证 的 身份 认证 。 

。 行为 实体 : 包括 选择 (SELECT) ， 更 新 (UPDATE) ， 删 除 (DELETE) 和 插入 (INSERT)。 

GERE: 表 ， 视 图 以 及 表 和 视图 的 列 ( 属 性 ) ; SQL3 进一步 把 用 户 定义 的 数据 类 型 也 包 

括 进来 了 。 

用 户 调用 了 对 象 上 的 操作 ， 并 且 数 据 库 管理 系统 不 得 不 决定 是 否 允许 请 求 的 操作 。 当 用 户 
创建 一 个 对 象 后 ， 就 会 把 该 用 户 指定 为 该 对 象 的 拥有 者 ， 并 且 该 对 象 初始 化 为 只 有 这 个 用 户 拥 
有 访问 它 的 权利 。 其 他 用 户 必须 首先 授予 特权 才 可 以 访问 该 对 象 。 优 先 权 的 构成 成 分 包括 : 

(BRA, RRNA, WR, 行为 ， 可 授权 ) 

SQL 安全 模型 的 两 个 主要 支柱 是 特权 和 视图 机 制 。 它 们 为 定义 面向 应 用 的 安全 策略 提供 了 
框架 。 - 


17.3.2 ”特权 的 授予 和 撤销 


在 SQL 中 ,使 用 GRANT 和 REVOKE 操作 来 管理 特权 。 特 权 指 的 是 特定 的 操作 。 而 且 仅仅 
被 限制 在 一 个 表 的 特定 属性 之 中 。 在 我 们 的 例子 中 ， 我 们 允许 两 个 旅行 社 Art 和 Zoe 通过 以 下 语 
句 来 更 新 Diary 表 的 某 些 部 分 : 


GRANT SELECT , UPDATE (Day, Flight) 
ON TABLE Diary 
TO Art , Zoe 


特权 可 以 有 选择 地 被 撤销 。 


REVOKE UPDATE 
ON TABLE Diary 
FROM Art > 


更 特别 的 是 ， 在 SQL 中 可 以 通过 执行 GRANT 选项 ， 来 使 得 已 经 获得 特权 的 用 户 授 权 给 其 
他 用 户 。 例 如 : 


GRANT SELECT 
ON TABLE Diary 
TO Art 
WITH GRANT OPTION 


旅行 社 Art 可 以 轮流 地 把 Diary 表 的 特权 授予 给 Zoe, 


GRANT SELECT 
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ON TABLE Diary 
TO Zoe 
WITH GRANT OPTION 


当 Diary 表 的 拥有 者 把 授予 给 Art 的 特权 撤销 的 时 候 ， 所 有 由 Art 授予 的 特权 也 被 迫 撤销 。 
因此 撤销 是 级 联 的 (cascade) ， 并 且 为 了 达到 这 样 的 目的 ， 要 完成 这 样 的 操作 所 需 的 必要 信息 也 
通过 数据 库 来 保存 。 

应 该 明确 的 是 : 一 旦 其 他 用 户 获 得 了 访问 数据 的 权限 后 ， 即 使 数据 的 拥有 者 对 原始 数据 仍 
然 拥有 某 种 控制 ， 但 他 们 不 能 控制 从 这 些 数据 中 衍生 出 来 的 信息 将 如 何 被 使 用 。 你 能 够 从 一 个 
表 中 读 取 数 据 ， 也 可 以 在 没 由 获得 对 原始 表 写 访问 的 权限 下 ， 把 读 出 的 数据 拷贝 到 另 一 个 表 中 。 


17. 3.3 通过 视图 的 访问 控制 
视图 是 从 关系 中 派生 出 来 的 。SQL 语言 中 ， 创 建 视图 的 操作 应 该 遵循 以 下 的 格式 : 


CREATE VIEW view_name [ (column[ ，column]...) ] 
AS subquery 
{ WITH CHECK OPTION]; 


在 关系 数据 库 中 ， 可 以 通过 直接 为 基本 表 中 的 表 项 授予 权限 的 操作 来 实现 访问 控制 。 然 而 ， 
许多 安全 的 策略 ， 可 以 通过 视图 以 及 这 些 视 图 的 特权 来 得 到 更 好 的 表示 。 在 视图 定义 中 的 子 查 
询 可 以 描述 非常 复杂 的 访问 条 件 。 作 为 一 个 简单 的 例子 ， 我 们 在 例子 关系 Diary 中 构建 一 个 包括 
所 有 公务 旅行 的 视图 。 

CREATE VIEW business _ trips AS 

SELECT * FROM Diary 


WHERE Status = 'tbusiness' 
WITH CHECK OPTION; 


通过 视图 ， 访 问 控制 能 够 被 恰当 地 放 在 应 用 层 中 。 数 据 库 管 理 系统 仅仅 提供 执行 控制 的 一 
些 工 具 。 视 图 机 制 吸引 我 们 的 原因 有 以 下 几 个 原因 : 

。 视 图 非常 灵活 ， 并 且 人 允许 在 贴近 应 用 需求 的 描述 层 上 定义 一 些 访问 控制 策略 。 

。 视 图 能 够 增强 上 下 文 依赖 和 数据 依赖 的 安全 策略 。 

。 视图 能 够 实施 受 控 调用 。 

。 安全 的 视图 可 以 代替 安全 标签 。 

。 数据 可 以 很 容易 地 重新 分 类 。 

面向 应 用 的 访问 控制 可 以 通过 如 下 视图 来 表示 ， 


CREATE VIEW Top _ of _ the _ Class AS 
SELECT * FROM Students WHERE Grade < 
(SELECT Grade FROM Students WHERE Name =current _user()) ; 


该 视图 仅仅 显示 那些 平均 成 绩 比 正在 使 用 这 个 视图 的 学 生 的 成 绩 还 要 低 的 学 生 ， 或 者 使 用 
以 下 视图 来 显示 那些 使 用 该 视图 的 用 户 预 定 的 旅行 航线 : 


CREATE VIEW My _ Journeys AS 
SELECT * FROM Diary 
WHERE Customer =current _user()); 


可 以 向 数据 库 中 添加 访问 控制 表 ， 来 实现 自由 访问 控制 。 此 时 ， 视 图 指 的 是 关系 。 通 过 这 种 
方式 ， 就 可 以 表示 基于 组 成 员 关系 的 访问 控制 ， 也 可 以 表示 那些 规定 用 户 访问 控制 权限 的 授予 
和 撤销 的 策略 。 

而 且 ， 视 图 可 以 定义 或 者 引用 安全 标签 。 在 我 们 的 例子 中 ， 可 以 通过 创建 视图 来 把 到 达 
Thule 的 商务 班机 标记 为 机 密 的 ; 
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CREATE VIEW Flights sconproentran AS 
SELECT * FROM Diary 
WHERE Destination ='THU' AND Status = 'business' ; 


通过 视图 来 控制 读 取 访 问 ， 除 了 能 够 正确 地 获取 你 的 安全 策略 外 ， 再 也 不 会 造成 特殊 的 技 
术 问 题 。 但 是 当 视 图 通过 插入 (INSERT) 和 更 新 (UPDATE ) 操作 向 数据 库 中 写 数 据 时 ， 就 应 该 另 
当 别 论 了 。 首 先 ， 存 在 不 可 更 新 的 视图 ， 因 为 它们 并 没有 包含 有 维护 对 应 的 基本 关系 所 需要 的 信 
息 。 比 如 ， 一 个 视图 中 ， 如 果 没 有 包含 强调 基本 关系 的 主键 ， 那 么 该 视图 就 是 不 能 够 更 新 的 。 其 
次 ， 即 使 视图 是 可 以 更 新 的 ， 仍 然 会 留 下 一 些 有 趣 的 安全 问题 。 一 个 仅 对 Diary 数据 库 有 访问 权 
利 的 旅行 社 可 以 通过 business _ trips 视图 来 查看 到 下 面 的 数据 。 


Status 





business 


business 


business 





那 是 否 应 该 允许 旅行 社 通过 下 面 的 操作 来 更 新 视图 呢 ? 


UPDATE business _ trips 
SET Status ='private' 
WHERE Name = 'Alice' AND Day='Thu' 


如 果 人 允许 的 话 ， 那 么 Alice 表 项 就 要 从 视图 中 消失 掉 。 事 实 上 ， 在 这 种 情况 下 ， 由 于 对 视图 
的 设置 说 明了 检查 (CHECK) 选 项 ， 那 么 就 不 允许 对 视图 的 更 新 操作 。 如 果 对 视图 定义 中 包含 了 
(WITH CHECK OPTION ) ， 那 么 更 新 (UPDATE) 和 插入 (INSERT) 都 只 能 写 人 满足 视图 定义 的 数 
据 库 表 项 中 。 如 果 检 查 (CHECK ) 操 作 和 忽略 了 ， 那 么 就 可 能 出 现 育 写 (blind write) 。 

在 SQL 安全 模型 中 ， 视 图 不 仅 是 一 个 对 象 ， 而 且 还 可 以 被 看 成 是 一 个 程序 。 当 视图 是 通过 
它 的 用 户 优先 权 而 不 是 调用 视图 的 用 户 具 有 的 优先 权 来 评价 时 ， 那 么 你 就 会 找到 另 一 种 执行 受 
控 调 用 的 方法 。 

对 视图 的 访问 条 件 必须 在 SQL 的 限制 之 内 说 明 。 如 果 这 种 方法 太 严 格 的 话 ， 那 么 就 会 用 田 
外 一 种 更 富有 表现 力 的 语言 书写 的 软件 包 ( 存储 程序 ) ， 来 为 数据 库 管理 系统 提供 数据 亩 的 受 控 
访问 。 用 户 将 再 次 被 授予 软件 包 的 执行 权限 ， 而 此 软件 包 与 其 用 户 的 特权 一 起 运行 。 

经 验 教训 

计算 机 系统 的 任何 一 层 都 可 以 找到 受 控 调用 ， 该 原则 在 微 处 理 器 和 数据 库 管 理 系 统 中 同样 
很 有 用 。 

至 今 为 止 ， 我 们 给 出 了 视图 的 多 个 方面 ， 这 些 方面 使 得 视图 成 为 一 个 很 有 用 的 安全 机 制 。 自 
然 ， 视 图 机 制 也 有 它 的 不 足 之 处 。 

。 访问 控制 可 能 变 得 相当 复杂 和 缓慢 。 

。 必须 检查 视图 的 定义 来 保证 正确 性 。 它 们 真 的 得 到 我 们 期 望 的 安全 策略 吗 ? 

。 完整 性 和 一 臻 性， 都 不 能 自动 达到 ， 视 图 之 间 可 能 重复 ， 也 可 能 不 能 描述 整个 数据 库 。 

。 数据 库 管 理 系统 中 ， 与 安全 相关 的 部 分 (如 TCB) 可 能 变 得 相当 大 。 

视图 适合 于 通常 的 商务 环境 中 。 它 们 能 够 根据 应 用 程序 的 需要 裁剪 ， 而 不 需要 对 数据 库 管 
理 系统 做 任何 修改 。 因 此 ， 视 图 的 定义 就 是 定义 数据 库 结构 的 通用 方法 的 一 部 分 ， 从 而 它 就 可 以 
最 好 地 满足 商务 的 需求 。 

但 是 当 要 确定 哪个 个 体 对 某 个 数据 项 有 访问 权 的 时 候 ， 视 图 就 可 能 变 得 很 复杂 了 。 因 此 ， 视 
图 在 这 些 情况 下 就 不 是 很 适合 了 ， 如 : 在 认为 要 保护 数据 项 而 不 是 要 控制 用 户 的 行为 的 时 候 。 
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17.4 统计 数据 库 的 安全 


在 本 书 中 ， 至 今 为 止 都 还 没 仔细 研究 过 统计 数据 库 产生 的 安全 问题 。 统 计数 据 库 最 显著 的 
特征 在 于 ， 它 是 通过 对 一 张 表 中 的 一 个 属性 ( 列 ) 进行 统计 (聚集 ) 查询 来 检索 信息 的 。 在 SQL 
中 ， 有 以 下 一 些 育 集 函数 。 

e COUNT: 一 列 中 值 的 个 数 。 

e SUM: 一 列 中 值 的 总 和 。 

。AVG: 一 列 中 值 的 平均 值 。 

e MAX: 一 列 中 最 大 的 值 。 

。 MIN: 一 列 中 最 小 的 值 。 

统计 查询 中 的 查询 谓词 (query predicate ) 指 的 是 用 来 计算 聚集 的 元 组 ， 而 查询 集 (query set) 
是 匹配 查询 谓词 的 元 组 。 在 内 核 中 ， 统 计数 据 库 会 出 现 以 下 安全 问题 。 

。 数 据 库 中 包含 一 些 数 据 项 ， 它 们 通常 是 敏感 数据 。 因 此 对 数据 项 的 访问 就 不 会 被 允许 。 

。 对 数据 库 的 统计 查询 是 允许 的 ， 但 是 由 于 它们 自身 的 特点 ， 这 些 查询 读 单个 的 数据 项 。 

在 这 种 情况 下 推导 出 信息 是 可 能 的 。 我 们 也 会 向 你 显示 ， 仅 仅 通过 管制 访问 控制 请 求 是 不 
够 的 。 对 于 信息 流 ， 我 们 也 将 采取 更 加 审慎 的 观点 。 在 第 8 章 和 第 9 章 中 ,机 密 性 模型 在 试图 阻 
止 任何 形式 的 信息 流 。 在 统计 数据 库 中 ， 必 须 有 某 种 信息 流 从 数据 项 流向 它们 的 聚集 。 我 们 能 做 
的 也 就 是 尽量 把 它们 减少 到 可 以 接受 的 地 步 。 
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图 17-4 Students 关系 表 


图 17-4 的 学 生 数 据 库 ， 将 在 这 节 中 提供 许多 例子 。 除 了 在 单元 数 和 平均 分 的 单个 表 项 上 ， 
其 他 所 有 属性 上 的 统计 性 查询 都 是 允许 的 。 列 上 是 不 允许 直接 读 取 的 。 下 面 的 统计 性 查询 就 是 
用 来 计算 所 有 MBA 学 生 的 平均 分 数 的 。 


Ql: SELECT AVG( Grade Ave. ) 
FROM Students 
WHERE Programme = 'MBA' 


在 这 个 例子 中 的 查询 谓词 是 Programme = MBA'。 
17.4.1 聚集 和 推断 
统计 数据 库 安 全 性 的 两 个 重要 的 概念 是 聚集 和 推断 。 聚 集 指 的 是 一 种 观察 结果 ， 也 就 是 在 
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数据 库 中 一 组 值 计算 出 来 的 聚集 的 敏感 度 ， 与 单个 元 素 的 敏感 度 不 同 。 大 多 会 遇 到 很 多 这 样 的 
情形 : 聚集 的 敏感 度 低 于 单个 元 素 的 敏感 度 。 当 至 集 是 从 一 个 不 那么 敏感 的 商业 数据 中 演化 而 
来 的 敏感 执行 信息 的 时 候 ， 相 反 的 情形 也 会 发 生 。 

聚集 是 数据 库 上 的 另 一 种 关系 ， 例 如 视图 。 因 此 ， 你 可 以 使 用 本 章 提 到 的 安全 机 制 来 控制 对 
聚集 的 访问 。 但 是 ， 一 个 攻击 者 可 以 利用 敏感 度 中 的 不 同 ， 来 获得 对 更 多 敏感 数据 项 的 访问 。 推 
断 问题 指 的 是 从 一 些 不 敏感 的 数据 中 ， 派 生出 一 些 敏 感 的 数据 。 要 考虑 以 下 的 一 些 攻击 类 型 : 

。 直接 攻击 : 聚集 是 从 小 组 样 例 中 计算 出 来 的 ， 这 样 的 话 ， 私 人 的 数据 项 就 可 能 被 泄漏 出 去 。 

。 间接 攻击 : 这 种 攻击 结合 了 与 几 个 聚集 关联 的 信息 。 

。 跟踪 攻击 : 这 是 间接 攻击 的 一 种 非常 有 效 的 类 型 。 

。 线性 系统 的 漏洞 攻击 : 这 种 攻击 又 比 跟踪 攻击 进 了 一 步 ， 它 采用 查询 集中 的 算术 关系 ,来 

构建 等 式 ， 以 产生 期 望 的 信息 。 


17.4.2 跟踪 攻击 


现在 我 们 将 说 明 如 何 利 用 统计 性 查询 从 学 生 关系 数据 库 中 ， 推 导出 敏感 的 数据 。 假 设 我 们 
知道 Carol 是 计算 机 系 的 一 名 女生 ， 通 过 以 下 查询 : 


Ql: SELECT COUNT(* ) 
FROM Students 
WHERE Sex = 'F' AND Programme ='CS' 


N 


Q2: SELECT AVG( Grade Ave. ) 


FROM Students 
WHERE Sex='F' AND Programme = 1 CS 


从 Ql 中 ,我 们 知道 如 果 数 据 库 中 的 计算 机 系 只 有 一 个 女生 ， 那 么 由 Q2 返回 的 值 70 就 是 她 
的 平均 成 绩 。 现 在 问题 出 现 了 ， 在 查询 的 标准 中 ， 我 们 定义 的 集合 可 以 只 包含 一 个 数据 元 素 。 因 
此 只 有 当 统 计 性 查询 覆盖 了 一 个 足够 大 的 子 集 时 ， 它 才 被 允许 执行 。 但 是 我 们 可 以 忽略 选择 标 
准 ， 仅 仅 查 询 补 集 ， 在 对 整个 数据 库 的 查询 结果 和 对 我 们 感 兴趣 的 补 集结 果 的 差异 中 ， 得 到 一 致 
的 结果 。 因 此 你 不 仅 需 要 要 求 查询 的 元 组 集合 ， 而 且 它 的 补 集 要 相当 的 大 。 

遗憾 的 是 ， 即 使 这 样 也 不 够 好 。 假 设 每 个 查询 的 集合 和 它 的 补 集 必 须 包 含 至 少 三 个 元 素 。 查 
询 顺序 如 下 : 


& 


Ww 


: SELECT COUNT(* ) 
FROM Students 
WHERE Programme = "CS 


Q4: SELECT COUNT(* ) 
FROM Students 
WHERE Programme = 'CS' AND Sex ='M' 


Q5: SELECT AVG( Grade Ave. ) 
FROM Students 
WHERE Programme = 'CS' 


fon) 


: SELECT AVG( Grade Ave. ) 
FROM Students 
WHERE Programme = 'CS' AND Sex ='M' 


返回 的 值 分 别 是 Q3: 4，Q4: 3, Q5: 61, Q6: 58。 所 有 查询 都 考虑 到 了 元 组 集合 是 充分 大 
的 ， 所 以 它们 是 不 被 禁止 的 。 但 是 ,通过 结合 四 个 结果 ,我们 计算 出 Caro 的 平均 成 绩 是 4 x 
61 -3 x58 =70。 


Q 
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你 可 能 会 认为 这 个 例子 很 巧合 ， 因 为 Carol 是 计算 机 系 中 唯一 一 个 女生 ， 因 此 可 以 构造 出 查 
询 集 。 现 在 我 们 将 向 你 展示 用 系统 的 方式 ， 如 何 来 设置 攻击 。 首 先 ， 我 们 需要 一 个 追踪 者 。 


允许 对 单个 元 组 追踪 其 信息 的 查询 谓词 了 被 称 为 该 元 组 的 单个 追踪 者 (individual tracker) 。 
一 个 通用 的 追踪 者 (general tracker) 是 一 个 谓词 ， 它 能 够 用 来 找到 任何 不 允许 查询 的 答案 。 


假设 了 是 一 个 普通 的 追踪 者 ，R 是 一 个 谓词 ， 这 个 谓词 唯一 地 标志 我 们 想 要 获取 的 元 组 ro 
在 我 们 的 例子 中 ， 谓 词 是 Name = 'Carol'。 我 们 使 用 谓词 RVT 和 RV NoT(T) 对 数据 库 作 出 两 
条 查询 。 我 们 的 目标 r 是 被 两 个 查询 使 用 到 的 唯一 元 组 。 若 要 保证 两 个 查询 都 是 允许 的 ， 那 么 我 
们 可 以 选择 T 使 查询 集 及 其 补 集 都 足够 大 ， 从 而 允许 查询 。 整 个 数据 库 的 最 终 查询 结果 会 向 我 
们 提供 所 有 的 数据 来 完成 攻击 。 在 我 们 的 例子 中 : 


Sex = 'F' AND Programme = 'CS' 


是 对 Carol 的 单个 追踪 者 ，Progamme = 'MIS ' 是 许多 普通 追踪 者 中 的 一 个 。 我 们 继续 以 下 的 
查询 : 
Q7: SELECT SUM( Units) 


FROM Students 
WHERE Name = 'Carol' OR Programme = 'MIS' 


Q8: SELECT SUM( Units) 
FROM Students 
WHERE Name = 'Carol' OR NOT ( Programme = 'MIS') 


oO 


: SELECT SUM( Units) 
FROM Students 


并 得 到 Q7: 75, Q8: 77 MQ: 136, Alt Carol 一 定 已 经 得 到 了 (75 +77) - 136 = 16 个 学 
分 。 经 验 表 明 : 几乎 所 有 的 统计 数据 库 都 有 一 个 普通 的 追踪 者 。 


17.4.3 对 策 


对 于 统计 推理 攻击 的 分 析 已 经 在 早期 数据 库 安 全 方面 的 书籍 中 介绍 很 多 了 。 自 从 那 时 起 ， 
研究 人 员 就 把 精力 转移 到 其 他 领域 了 ， 这 与 其 说 是 因为 找到 了 完整 的 而 严密 的 解决 方法 ， 还 不 
如 说 是 因为 他 们 不 得 不 承认 ， 抵 制 推理 攻击 的 对 策 还 有 很 多 限制 。 考 虑 到 这 些 限制 ， 那 么 我 们 对 
于 推理 问题 真正 能 做 些 什么 呢 。 

首先 ， 你 必须 明确 地 保护 好 敏感 地 信息 。 这 也 就 暗示 着 你 知道 哪些 信息 是 敏感 的 信息 ， 哪 些 
信息 有 可 能 成 为 敏感 的 信息 。 而 且 你 还 要 知道 应 该 怎样 获取 信息 。 至 少 ， 你 应 该 在 得 到 统计 查询 
结果 之 前 能 够 检查 查询 结果 的 规模 。 

其 次 ， 你 应 该 能 够 伪装 数据 。 你 可 能 会 随机 地 交换 数据 库 中 的 表 项 ， 这 样 做 的 结果 是 ， 即 使 
统计 性 查询 仍然 是 正确 的 ， 但 是 对 于 单个 的 查询 ， 其 结果 就 可 能 是 错误 的 了 。 也 就 是 说 ， 可 以 向 
查询 结果 中 添加 一 些 随 机 的 混乱 信息 ， 这 样 返回 来 的 值 就 会 更 接近 真实 的 值 ， 但 是 仍然 不 会 非 
常 准确 。 这 些 技术 的 一 种 缺陷 ， 就 是 会 减少 精度 和 可 用 性 。 你 可 能 不 希望 在 医药 数据 库 中 随机 地 
交换 各 种 数据 值 。 

可 以 通过 精心 设计 的 数据 库 模 式 ， 来 是 解决 一 些 聚集 问题 ( Lun, 1989) 。 对 数据 库 结构 的 静 
态 分 析 可 能 会 揭露 出 属性 之 间 的 敏感 关系 。 这 些 属 性 被 分 派 到 独立 的 表 中 。 仅 仅 对 某 一 数据 表 
有 访问 权 的 用 户 ， 就 不 能 再 把 各 个 属性 之 间 的 关系 关联 起 来 了 。 当 然 ， 那 些 拥 有 对 所 有 表 的 访问 
权 的 用 户 ， 仍 然 能 够 得 到 相关 的 信息 ， 但 是 作为 一 个 数据 库 管 理 员 来 说 ， 在 分 配 优先 权 的 时 候 ， 
就 可 能 会 更 加 精确 了 。 在 我 们 的 例子 中 ， 名 字 和 学 习 成 绩 之 间 的 关系 是 敏感 的 信息 。 我 们 可 以 通 


Q 
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过 学 生 身 份 号 码 ， 用 两 个 表 来 代替 Students 表 了 (图 17-5) 。 


C 
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图 17-5 把 Students 分 成 两 个 表 


现在 第 一 个 表 可 以 在 安全 级 方面 设置 得 更 高 ， 从 而 只 有 授权 的 用 户 才能 把 姓名 和 学 分 联系 起 来 。 

最 后 ， 我 们 会 发 现 推理 问题 不 是 由 单个 的 查询 引起 的 ， 而 是 通过 将 几 个 查询 巧妙 地 集合 起 
来 而 引起 的 。 因 此 你 可 能 也 会 追踪 到 底 用 户 知道 些 什 么 。 这 可 能 会 给 出 最 好 的 安全 性 ， 但 是 这 也 
可 能 是 代价 最 昂贵 的 选择 。 用 户 的 行为 可 以 记录 在 一 个 审计 日 志 中 ， 如 果 检 查 到 一 个 可 疑 的 查 
询 序 列 ， 你 也 可 以 执行 查询 分 析 (query analysis) HR, 首先 ， 你 不 得 不 搞 清楚 的 是 ， 可 疑 的 查 - 
询 行为 由 哪些 查询 行为 构成 。 为 了 加 强 保护 ， 查 询 分 析 就 必须 考虑 两 个 用 户 ， 或 是 一 组 用 户 ， 他 
们 同时 知道 什么 。 


17.5 操作 系统 的 完整 性 


当 你 从 操作 系统 的 角度 看 待 数据 库 的 时 候 ， 你 便 会 发 现 许 多 的 用 于 维护 数据 表 项 操作 系统 
进程 ， 以 及 保存 数据 项 的 内 存 资源 。 数 据 库 管理 系统 在 很 多 方面 都 和 操作 系统 有 相同 的 职责 。 它 
必须 能 防止 用 户 之 间 相 互 干扰 ， 也 要 能 防止 和 数据 库 管理 系统 相互 冲突 。 

如 果 你 不 想 花 费 过 多 的 精力 ， 你 可 以 把 这 些 任 务 交 给 操作 系统 。 在 这 种 方式 里 ， 数 据 库 管理 
系统 作为 操作 系统 的 进程 集 工 作 。 数 据 库 中 有 许多 进程 来 完成 有 通用 的 数据 库 管 理 系统 大 的 进程 ， 
并 且 数 据 库 的 每 个 用 户 也 对 应 于 一 个 独立 的 操作 系统 的 进程 (图 17-6) 。 现 在 操作 系统 能 够 区 分 不 同 
的 用 户 ， 并 且 如 果 你 将 自己 的 文件 存储 到 数据 库 管理 系统 中 的 话 ， 那 么 操作 系统 就 能 够 执行 所 有 的 
访问 控制 了 。 数 据 库 系 统 只 要 把 用 户 的 查询 翻译 成 操作 系统 的 能 够 理解 的 操作 就 行 了 。 
































操作 系统 进程 














图 17-6 操作 系统 下 的 数据 库 用 户 隔离 





HERES 213 





把 每 一 个 操作 系统 的 进程 分 派 给 每 个 数据 库 的 用 户 非常 耗 内 存 资源 ， 而 且 也 不 会 覆盖 到 大 
部 分 的 用 户 。 因 此 ， 你 需要 的 是 能 够 处 理 几 个 用 户 请 求 的 进程 (图 17-7) 。 你 可 能 会 节约 内 存 ， 
但 是 现在 访问 控制 方面 的 责任 也 集中 取决 于 数据 库 管 理 系 统 。 在 数据 库 中 存储 对 象 也 需要 相似 
的 考虑 。 如 果 对 象 过 小 ,那么 每 个 对 象 都 拥有 一 个 独立 的 文件 ， 就 会 显得 非常 的 浪费 。 一 旦 操作 
系统 失去 了 对 数据 库 用 户 的 访问 控制 功能 ， 那 么 你 就 能 够 自由 地 在 操作 系统 文件 中 收集 一 些 数 






































据 库 对 象 。 
c Zoe 
EA 
操作 系统 进程 
图 17-7 数据 库 管 理 系统 下 的 数据 库 用 户 隔离 
17.6 隐私 


许多 组 织 出 于 法 律 原因 都 会 存储 各 自用 户 的 个 人 数据 ， 比 如 : 姓名 、 地 址 、 信 用 卡 卡号 、 个 
人 偏好 ,或 其 他 用 户 的 习惯 。 这 些 数据 一 般 都 是 被 法 律 保护 的 。 维 护 数据 一 定 要 遵从 法 律 法 规 的 
限制 。 

为 了 保护 个 人 数据 ， 国 际 上 推荐 使 用 保护 隐私 的 方针 (Guidelines on the Protection of Privacy 
and Transborder Flows of Personal Data，OECD)。 这 个 方针 陈述 了 八条 保护 原则 ， 在 这 些 原 则 中 ， 
数据 主体 都 是 数据 引用 的 个 体 ， 而 数据 的 控制 者 ， 则 是 指 的 是 维护 数据 库 的 人 。 

1. 收集 限制 原则 : 应 该 限制 对 个 人 数据 的 收集 ， 数 据 应 该 通过 法 律 和 合法 方式 得 到 ,并且 
得 到 数据 主体 的 认可 和 同意 。 

2. 数据 质量 原则 : 单个 数据 应 该 要 与 一 些 目的 联系 ， 如 : 数据 要 可 使 用 ， 要 精确 ， 完 整 ， 
而 且 要 及 时 。 

3. 目的 说 明 书 原则 : 应 该 说 明 个 人 数据 收集 的 目的 。 

4. 使 用 限制 原则 : 除 特定 目的 不 得 批 露 和 使 用 个 人 数据 ， 否 则 必须 经 由 数据 主体 批准 或 法 
律 授权 许可 。 

5. 安全 防卫 原则 : 应 该 通过 合理 的 安全 访问 方式 ， 来 保护 个 人 的 数据 。 

6. 开放 性 原则 : 与 个 人 数据 相关 的 进展 、 实 践 和 策略 的 开放 性 都 应 该 有 一 个 通用 的 政策 。 

7. 个 体 参与 原则 : 单个 个 体 应 该 拥有 确认 以 下 信息 的 权利 : 控制 者 是 否 拥 有 与 他 (她 ) 相关 
的 数据 ， 能 否 检索 与 他 (她 ) 相 关 的 数据 ， 在 请 求 得 到 否定 的 时 候 ， 能 否 被 告知 原因 。 

8. 问 责 性 原则 : 数据 的 控制 者 应 该 对 他 实施 的 一 些 措施 担负 责任 ， 而 这 些 措 施 可 能 都 是 用 
来 实施 上 述 原则 的 。 
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处 理 个 人 数据 以 及 像 这 样 的 数据 自由 移动 的 另 一 个 重要 的 文档 是 欧盟 联盟 标准 >。 欧盟 指令 
并 不 是 法 律 ， 但 是 必须 由 欧盟 成 员 国 放 和 人 国家 法 律 条 文中 。 该 标准 非常 强调 用 户 的 批示 。 用 户 必 
须 参加 进来 说 明 他 们 同意 托管 保存 自己 的 数据 。 或 采用 另 一 种 策略 : 数据 主体 应 该 显 式 地 陈述 
数据 不 能 被 保留 。 

在 美国 有 多 项 法 律 都 对 数据 保护 进行 了 阐述 ， 比 如 ， 健 康 保险 携带 与 责任 法 (Health Insur- 
ance Portability and Accountability Act of 1996，HIPPA) ， 就 是 一 部 保护 病人 的 医疗 记录 以 及 提供 
给 健康 机 构 、 医 生 、 医 院 和 健康 照看 人 员 的 病人 健康 状况 信息 。 这 部 法 律 在 2003 年 生效 ， 它 对 
通用 情况 下 数据 库 安 全 和 信息 技术 安全 都 产生 了 巨大 的 影响 。 


17.7 深层 阅读 


你 可 以 参看 其 他 书籍 进一步 了 解 关系 数据 模型 。 关 于 数据 库 安全 方面 的 许多 资料 都 已 经 收 
集 并 编撰 在 Castano et al (1994) 的 著作 中 。 更 时 的 但 是 也 很 有 用 的 关于 数据 库 安 全 的 书包 括 
Denning (1982) 的 著作 。 这 本 书 为 统计 数据 库 的 安全 提供 了 一 个 很 好 的 参考 价值 。 关 于 这 方面 更 
多 的 有 用 的 资料 ， 可 以 在 Lunt( 1989) 的 著作 中 查 到 。 所 有 主要 的 数据 库 卖 主 都 把 他 们 的 产品 用 
网 页 附带 信息 的 形式 保留 起 来 ， 同 时 也 对 他 们 的 数据 安全 做 了 很 好 的 介绍 。 


17.8 习题 


练习 17. 1 ”假设 有 一 个 账户 数据 库 ， 它 的 记录 是 (客户 和 名， 账户 号 ， 余 额 ， 信 用 率 ， 以 及 以 下 一 
些 用 户 类 型 : 客户 ， 职 员 ， 管 理 员 。 试 定义 一 个 访问 结构 ， 比 如 通过 视图 ， 来 实现 如 下 一 些 功 能 : 

。 客户 可 以 读 取 他 们 自己 的 账户 信息 。 

。 职员 可 以 读 取 除了 信用 率 以 外 所 有 的 字段 信息 ， 也 可 以 更 新 所 有 用 户 的 余额 。 

。 管理 员 可 以 创建 新 的 记录 ， 读 取 所 有 的 字段 信息 以 及 为 所 有 用 户 更 新 他 们 的 信用 率 。 

练习 17.2 假设 有 一 个 学 生 记 录 的 数据 库 ， 其 中 包含 了 学 生 的 姓名 ， 学 生 的 各 个 课程 的 分 
数 。 初 稿 提供 的 视图 显示 了 所 有 学 生 的 课程 ， 这 些 学 生 的 试卷 都 还 没有 被 给 出 最 后 的 分 数 。 那 么 
是 否 这 些 视图 就 应 该 定义 成 WITH CHECK OPTION 呢 ? 对 决定 是 否 使 用 CHECK OPTION 给 出 
,通用 的 标准 。 

练习 17.3 所 有 的 在 Students 关系 (图 17-4) 上 的 统计 性 查询 在 其 查询 结果 中 都 至 少 要 包含 
三 个 元 组 。 只 有 在 属性 Grade Ave 上 的 AVG 查询 才 是 允许 的 。 试 找 出 一 个 新 的 通用 的 追踪 者 ， 
并 且 构 建 一 个 对 Homer 的 平均 分 数 的 跟踪 攻击 。 . 

练习 17.4 在 数据 库 系 统 安全 中 ， 你 可 能 已 经 看 过 了 放置 在 应 用 层 上 的 安全 控制 的 实例 。 
那么 这 种 方法 的 问题 是 什么 呢 ? 

练习 17.5 假设 在 一 个 数据 库 系 统 中 ， 一 些 聚 集 被 放 在 比 产生 聚集 的 数据 项 更 高 的 敏感 层 
上 。 拥 有 访问 数据 项 权限 的 用 户 ， 就 可 能 通过 单个 地 访问 数据 项 ， 来 计算 出 聚集 。 那 么 你 怎样 防 
御 这 种 攻击 呢 ? 

练习 17.6 如果 给 你 一 个 数据 库 ， 在 这 个 数据 库 中 ， 对 于 表 中 的 每 一 行 的 访问 权限 都 是 单 
独 定 义 的 。 访 问 控制 应 该 使 用 操作 系统 的 安全 机 制 。 如 果 通 过 把 数据 库 对 象 存储 在 操作 系统 中 
的 文件 中 这 种 方式 来 决定 设计 ， 那 么 这 样 的 设计 决策 的 结果 是 什么 呢 ? 〈 作 为 一 种 标准 ， 试 考虑 
一 下 操作 系统 为 每 个 文件 和 拥有 1000 万 个 记录 的 数据 ， 仅 仅 使 用 100 个 管理 数据 的 字 节 。) 这 是 
一 种 可 行 的 方案 吗 ? 
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